當(dāng)前位置:
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)公開比價(jià)
招標(biāo)編號(hào):****
`
招標(biāo)人:點(diǎn)擊登錄查看
2025年5月
目 錄
第二章 評(píng)標(biāo)方法和標(biāo)準(zhǔn). 6
1.點(diǎn)擊登錄查看(以下簡(jiǎn)稱“招標(biāo)人”)采用國(guó)內(nèi)公開比價(jià),、資格后審方式進(jìn)行本項(xiàng)目的自主招標(biāo),歡迎符合要求的投標(biāo)人(以下簡(jiǎn)稱 “投標(biāo)人”)提交密封的有競(jìng)爭(zhēng)性的投標(biāo)文件,。
項(xiàng)目名稱:點(diǎn)擊登錄查看信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)
招標(biāo)編號(hào):****
招標(biāo)范圍:負(fù)責(zé)招標(biāo)人信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作,,具體內(nèi)容和要求詳見第四章技術(shù)規(guī)范。
施工工期:90天,,具體開始時(shí)間均以招標(biāo)人書面通知為準(zhǔn),。
2.投標(biāo)人需滿足以下基本要求:
2.1投標(biāo)人須具有中華人民共和國(guó)獨(dú)立法人資格;
2.2投標(biāo)人須能夠開具合法可抵扣的增值稅專用發(fā)票,;
2.3投標(biāo)人資質(zhì)要求:
投標(biāo)人須具有網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)與檢測(cè)評(píng)估價(jià)機(jī)構(gòu)服務(wù)認(rèn)證證書,。
2.4投標(biāo)人業(yè)績(jī)要求:
投標(biāo)人須具有****之后簽訂的河南省內(nèi)單機(jī)容量300MW及以上燃煤機(jī)組信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)合同業(yè)績(jī)。
2.5投標(biāo)人須具有良好的銀行資信和商業(yè)信譽(yù),,沒有處于被責(zé)令停業(yè),,財(cái)產(chǎn)被接管、凍結(jié),、破產(chǎn)和重組狀態(tài),。
2.6投標(biāo)人及其分包商在近3年內(nèi)不能在任何合同中因違約或?qū)偻稑?biāo)人及其分包商的原因而被終止合同,,投標(biāo)人和技術(shù)支持方?jīng)]有中國(guó)國(guó)家有關(guān)部門所界定的腐敗或欺詐行為。
2.7本項(xiàng)目不接受聯(lián)合體投標(biāo),。
2.8單位負(fù)責(zé)人為同一人或者存在控股,、管理關(guān)系的不同單位,不得同時(shí)參加投標(biāo),。
3.報(bào)名方式及招標(biāo)文件售價(jià):
3.1投標(biāo)人須先填寫投標(biāo)登記表(附表一),,并將投標(biāo)登記表可編輯的word版同時(shí)發(fā)送至招標(biāo)人郵箱****@126.com、****@163.COM,。
3.2本項(xiàng)目不收取標(biāo)書費(fèi),。投標(biāo)人發(fā)送投標(biāo)登記表至招標(biāo)人郵箱后,繳1000元投標(biāo)保證金至招標(biāo)人賬戶并電話通知招標(biāo)人,,投標(biāo)人須以投標(biāo)單位名義繳納投標(biāo)保證金并按照如下賬戶支付,,未中標(biāo)單位投標(biāo)保證金在本項(xiàng)目合同簽訂后30個(gè)工作日內(nèi)無(wú)息退還。
招標(biāo)人名稱:點(diǎn)擊登錄查看
開戶銀行:建行周口黃金橋支行
賬 號(hào):4**** 5000 0720
4.開標(biāo)時(shí)間:2025年5月20日上午10:00,。采用郵遞投標(biāo)的單位可以通過(guò)騰訊會(huì)議方式參加開標(biāo)(騰訊會(huì)議號(hào)碼:161 182 077),。進(jìn)入騰訊會(huì)議后須將自己的名稱改為公司名稱。
5.開標(biāo)地點(diǎn):周口市****點(diǎn)擊登錄查看一樓會(huì)議室,,所有投標(biāo)文件按照第五章投標(biāo)文件格式要求制作一個(gè)正本文件,,密封遞交到開標(biāo)地點(diǎn)。
6.投標(biāo)文件遞交
6.1郵遞投標(biāo):郵遞投標(biāo)須出具開標(biāo)委托函(詳見第五章委托開標(biāo)函),,郵遞投標(biāo)文件送達(dá)時(shí)間以招標(biāo)人簽收時(shí)間為準(zhǔn),,投標(biāo)文件須先密封后郵遞,,逾期送達(dá)或不符合規(guī)定的投標(biāo)文件恕不接受。
6.2現(xiàn)場(chǎng)接收投標(biāo)文件:現(xiàn)場(chǎng)遞交投標(biāo)文件須于開標(biāo)當(dāng)日投標(biāo)截止時(shí)間前遞交至開標(biāo)地點(diǎn)。逾期送達(dá)或不符合規(guī)定的投標(biāo)文件恕不接受,。
6.3郵箱報(bào)價(jià):僅適用因疫情影響無(wú)法郵遞或現(xiàn)場(chǎng)送達(dá)投標(biāo)文件的投標(biāo)人,將投標(biāo)文件簽字蓋章掃描件和委托開標(biāo)函于開標(biāo)時(shí)間前同時(shí)發(fā)到指定郵箱****@126.com和****@163.COM,,逾期發(fā)送或不符合規(guī)定的投標(biāo)文件恕不接受,。投標(biāo)人完成投標(biāo)后將投標(biāo)文件紙質(zhì)版郵寄至招標(biāo)人處。
7.該招標(biāo)文件在(www.)和(www.dlzb.com)中國(guó)電力招標(biāo)網(wǎng)上同時(shí)發(fā)布,,對(duì)于因其他網(wǎng)站轉(zhuǎn)載并發(fā)布的非完整版或修改版招標(biāo)文件,,而導(dǎo)致投標(biāo)人造成損失,招標(biāo)人不予承擔(dān)責(zé)任,。
8.踏勘現(xiàn)場(chǎng):投標(biāo)人需到招標(biāo)人現(xiàn)場(chǎng)進(jìn)行踏勘,,由投標(biāo)人自行安排,費(fèi)用自理,。除招標(biāo)人的原因外,,投標(biāo)人自行負(fù)責(zé)在踏勘現(xiàn)場(chǎng)中所發(fā)生的人員傷亡和財(cái)產(chǎn)損失。
9.招標(biāo)人:點(diǎn)擊登錄查看
詳細(xì)地址:河南省周口市****
郵編:466199
聯(lián)系人:點(diǎn)擊登錄查看
電話:****
郵箱:****@126.com/ ****@163.COM
附表一:投標(biāo)登記表
| 投標(biāo)單位名稱 | ||
| 招標(biāo)項(xiàng)目名稱 | ||
| 招標(biāo)文件編號(hào) | ||
| 聯(lián)系人 | 姓名 | |
| 移動(dòng)電話 | ||
| 電子郵箱 | ||
| 投標(biāo)單位支付項(xiàng)目投標(biāo)保證金時(shí)所用的銀行詳細(xì)名稱及賬號(hào) | 開戶銀行: 賬 號(hào): (招標(biāo)人后期將根據(jù)此銀行賬號(hào)退還投標(biāo)保證金,如有變更請(qǐng)及時(shí)通知招標(biāo)人,,否則后果自負(fù),。) | |
| 投標(biāo)人簽字 | ||
注:投標(biāo)保證金必須注明“投標(biāo)單位”及“(招標(biāo)編號(hào))保證金”字樣,否則因款項(xiàng)用途不明導(dǎo)致后果由投標(biāo)人自行承擔(dān),。
單位公章:_____________________
日 期:2025年 月 日
附表二:報(bào)名資格審核文件
| 招標(biāo)公告要求提供證明文件 | 資質(zhì)證明文件(投標(biāo)方填寫) | 報(bào)名文件所在頁(yè)碼 | |
| 1 | 營(yíng)業(yè)執(zhí)照 | ||
| 2 | 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)與檢測(cè)評(píng)估價(jià)機(jī)構(gòu)服務(wù)認(rèn)證證書 | 發(fā)證單位: 有效期 | |
| 3 | ****之后簽訂的河南省內(nèi)單機(jī)容量300MW及以上燃煤機(jī)組信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)合同業(yè)績(jī) | 合同:(合同名稱,,承包范圍,簽訂日期) | |
★注:
1,、此表請(qǐng)投標(biāo)人按公告中資格標(biāo)準(zhǔn)要求的資質(zhì),、業(yè)績(jī)認(rèn)真填寫【必須附相關(guān)資質(zhì)及合同證明材料的PDF版掃描件】。
2,、合同證明材料需附主要內(nèi)容頁(yè)(合同封面,、簽字蓋章頁(yè)、承包范圍等),,無(wú)相關(guān)合同證明或材料不全,,在審核時(shí)將不予確認(rèn)。
第二章 評(píng)標(biāo)方法和標(biāo)準(zhǔn)
1.評(píng)標(biāo)辦法:經(jīng)評(píng)審的最低投標(biāo)價(jià)法,。
1.1所有投標(biāo)人必須按照投標(biāo)報(bào)價(jià)表要求進(jìn)行報(bào)價(jià),,不得少報(bào)、漏報(bào),,如出現(xiàn)此情況則按其投標(biāo)單價(jià)或其他投標(biāo)人的最高單價(jià)核算數(shù)量后計(jì)入投標(biāo)總價(jià),。
1.2若單價(jià)計(jì)算的結(jié)果與總價(jià)不一致,以單價(jià)為準(zhǔn)修改總價(jià),;若用文字表示的數(shù)值與用數(shù)字表示的數(shù)值不一致,,以文字表示的數(shù)值為準(zhǔn),并對(duì)數(shù)字作相應(yīng)的修正,;但上述修正后的總價(jià)不得高于開標(biāo)一覽表中投標(biāo)人簽字確認(rèn)的價(jià)格,。如果投標(biāo)人不接受對(duì)其錯(cuò)誤的更正,其本項(xiàng)目或標(biāo)段的投標(biāo)將被拒絕,。
1.3若投標(biāo)人報(bào)價(jià)稅率不一致時(shí),,調(diào)整至統(tǒng)一稅率或按稅前價(jià)格作為其評(píng)標(biāo)價(jià)格。
1.4當(dāng)有效投標(biāo)人不足3家時(shí),,招標(biāo)人可根據(jù)實(shí)際情況,在征得有效投標(biāo)人同意后,,現(xiàn)場(chǎng)轉(zhuǎn)為談判,。
2.招標(biāo)人將審查投標(biāo)文件是否完整、資格,、業(yè)績(jī)證明文件是否齊全,,投標(biāo)保證金是否合格等,只對(duì)確定為通過(guò)初審(符合性檢查)的投標(biāo)進(jìn)行詳細(xì)評(píng)審,。招標(biāo)人發(fā)現(xiàn)投標(biāo)人有下列情況之一的,,其投標(biāo)將被拒絕:
2.1沒有按照招標(biāo)文件要求提供的投標(biāo)文件或不滿足技術(shù)主要參數(shù)要求和超出偏差范圍的,;
2.2超出經(jīng)營(yíng)范圍的投標(biāo)或資格標(biāo)準(zhǔn)、業(yè)績(jī)不滿足招標(biāo)文件要求的,;
2.3投標(biāo)人有串通投標(biāo)(按照招投標(biāo)法實(shí)施條例認(rèn)定),、弄虛作假、行賄等違法行為,;
2.4投標(biāo)文件無(wú)投標(biāo)單位公章,、無(wú)法定代表人或授權(quán)人簽字,或簽字人無(wú)法定代表人有效委托書的,;
2.5未按規(guī)定遞交投標(biāo)保證金的,;
2.6招標(biāo)人未做額外要求,投標(biāo)人在同一份投標(biāo)文件中,,對(duì)同一招標(biāo)標(biāo)的報(bào)有兩個(gè)或多個(gè)報(bào)價(jià),,且未聲明哪個(gè)為最終報(bào)價(jià)的;
2.7被招標(biāo)人列入黑名單單位的,;
2.8招標(biāo)文件允許投標(biāo)人為代理商時(shí),,未出具生產(chǎn)廠家的有效授權(quán);
2.9投標(biāo)文件附有招標(biāo)人不能接受的條件,,包括但不限于如合同條款付款偏差等,;
2.10國(guó)家相關(guān)法規(guī)認(rèn)定的其它無(wú)效投標(biāo)或廢標(biāo)的。
3.中標(biāo)候選人的確定方式
3.1評(píng)標(biāo)組按照招標(biāo)文件確定的評(píng)標(biāo)標(biāo)準(zhǔn)和方法,,向招標(biāo)人推薦中標(biāo)人,,未中標(biāo)不再通知,不對(duì)未中標(biāo)原因作出解釋,。
3.2當(dāng)投標(biāo)人的有效報(bào)價(jià)相同時(shí),,以技術(shù)性能評(píng)審高者優(yōu)先;價(jià)格相同且技術(shù)性能評(píng)審也相同,,由招標(biāo)人確定,。
3.3招標(biāo)人保留在授標(biāo)之前任何時(shí)候接受或拒絕任何投標(biāo),以及宣布招標(biāo)程序無(wú)效或拒絕所有投標(biāo)的權(quán)力,,對(duì)受影響的投標(biāo)人不承擔(dān)任何責(zé)任,。
4.合同的授予
4.1投標(biāo)人不得以低于成本的報(bào)價(jià)競(jìng)標(biāo),最低投標(biāo)價(jià)不是被授予合同的唯一保證和條件,。
4.2排名第一的中標(biāo)候選人必須與招標(biāo)人簽訂合同,,否則扣除投標(biāo)保證金并列入招標(biāo)人黑名單,不得參加招標(biāo)人以后任何項(xiàng)目投標(biāo),。
4.3當(dāng)排名第一的中標(biāo)候選人放棄中標(biāo),,則排名第二的中標(biāo)候選人可轉(zhuǎn)為第一中標(biāo)候選人。
本合同條款將作為中標(biāo)合同的基礎(chǔ),若投標(biāo)人對(duì)合同條款有異議,,請(qǐng)?jiān)谏虅?wù)偏離表和技術(shù)偏離表中列出,,否則視為接受。
重大的偏離可能導(dǎo)致投標(biāo)被拒絕,。
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)合同
乙方:(中標(biāo)單位)
根據(jù)《中華人民共和國(guó)民法典》及相關(guān)法律法規(guī)的規(guī)定,,就甲方委托乙方進(jìn)行信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)事宜,經(jīng)甲,、乙雙方協(xié)商,,本著平等互利和誠(chéng)實(shí)信用的原則,雙方達(dá)成一致意見,,簽訂以下合同條款,。
第一條、 項(xiàng)目名稱
項(xiàng)目名稱:點(diǎn)擊登錄查看信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng),。
第二條,、服務(wù)內(nèi)容
具體服務(wù)內(nèi)容詳見《點(diǎn)擊登錄查看信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)協(xié)議》。
第三條,、合同價(jià)款
1.本項(xiàng)目固定總價(jià)承包,,合同價(jià)款為:人民幣 (小寫:¥ )含稅價(jià),稅率為 %的可抵扣增值稅,,其中不含稅額為 元,,稅額 元。
合同實(shí)施期間如遇國(guó)家稅收政策調(diào)整,,按不含稅凈價(jià)不變,、僅對(duì)稅款部分進(jìn)行調(diào)整的原則予以調(diào)整。
2.合同價(jià)款含勞務(wù)費(fèi),、測(cè)評(píng)服務(wù)費(fèi),、報(bào)告編制費(fèi)、食宿費(fèi),、管理費(fèi),、協(xié)調(diào)費(fèi)及稅金等完成本項(xiàng)目所發(fā)生的費(fèi)用。
第四條,、履約保證金
1.本合同簽字生效后,,乙方對(duì)于本項(xiàng)目的投標(biāo)保證金將自動(dòng)轉(zhuǎn)為履約保證金。
2.本合同雙方權(quán)利義務(wù)履行完畢后,,乙方在履約期間無(wú)違約行為,,甲方在30個(gè)工作日內(nèi)全額退還履約保證金(無(wú)息)。若乙方違約,,則甲方可從履約保證金中優(yōu)先抵扣相應(yīng)數(shù)額的違約金,。
第五條、付款方式
1.乙方完成本合同約定所有工作后,,向甲方提交驗(yàn)收申請(qǐng),,經(jīng)甲方驗(yàn)收合格后,乙方向甲方開具與結(jié)算金額等額增值稅專用發(fā)票,,甲方收到有效票據(jù)后30個(gè)工作日內(nèi)向乙方支付結(jié)算金額的100%,。
結(jié)算金額:合同總價(jià)款+考核金額-乙方應(yīng)承擔(dān)費(fèi)用,結(jié)算金額以甲方核定數(shù)據(jù)為準(zhǔn),。
乙方應(yīng)承擔(dān)費(fèi)用:如因乙方提供的發(fā)票不符合本合同約定,,給甲方造成可抵扣稅金損失的費(fèi)用等。
2.乙方指定收款賬戶信息:
開戶名稱:
開戶行:
賬號(hào):
第六條,、雙方職責(zé)
1. 甲方職責(zé)
(1)甲方在項(xiàng)目實(shí)施過(guò)程中,,負(fù)責(zé)安排人員為乙方提供測(cè)評(píng)所需要的技術(shù)文檔,并監(jiān)督乙方的實(shí)施質(zhì)量,;
(2)參與項(xiàng)目驗(yàn)收工作,,并簽字確認(rèn);
(3)按照合同約定,,及時(shí)向乙方支付合同約定相關(guān)費(fèi)用,。
2. 乙方職責(zé)
(1)乙方向甲方提供符合公安機(jī)關(guān)及電力主管部門要求的信息安全等級(jí)測(cè)評(píng)報(bào)告;
(2)乙方按合同規(guī)定組織人員現(xiàn)場(chǎng)信息收集,,現(xiàn)場(chǎng)測(cè)評(píng),,按期完成項(xiàng)目實(shí)施工作;
(3)如發(fā)生工傷,、安全事故及因乙方原因造成設(shè)備損壞,,全部由乙方負(fù)責(zé);
(4)完成合同中所規(guī)定的各項(xiàng)承諾,、責(zé)任與義務(wù),。
第七條、項(xiàng)目工期
90天,,具體開始時(shí)間以甲方書面通知為準(zhǔn),。
第八條、測(cè)評(píng)項(xiàng)目驗(yàn)收
詳見技術(shù)協(xié)議,。
第九條,、違約責(zé)任
1.除不可抗力外,甲,、乙雙方應(yīng)嚴(yán)格遵守本合同各項(xiàng)條款的規(guī)定,,并按本合同規(guī)定履行其職責(zé),否則即視為違約,,另一方有權(quán)要求違約方按本合同規(guī)定履行其職責(zé),。若違約方的違約行為導(dǎo)致另一方遭受經(jīng)濟(jì)損失,,另一方有權(quán)向違約方要求賠償,賠償金額和支付形式由甲乙雙方另行協(xié)商確定, 協(xié)商不成的按照相關(guān)法律規(guī)定解決,。
2. 項(xiàng)目實(shí)施質(zhì)量不符合合同規(guī)定的,,乙方負(fù)責(zé)無(wú)償返工。由于返工造成逾期交付或未能按合同規(guī)定工期交付使用的,,償付逾期違約金1000元,,每超過(guò)一天再扣除200元,累計(jì)不超過(guò)合同金額的30%,。造成嚴(yán)重?fù)p失的,,并賠償由此給甲方造成的全部經(jīng)濟(jì)損失。
第十條,、不可抗力
1. 本條所述的“不可抗力”是指甲乙雙方在訂立合同時(shí)無(wú)法控制,、不可預(yù)見,并且通常情況下不可避免和克服的事件,,包括但不限于:戰(zhàn)爭(zhēng),、政變、洪水,、火災(zāi),、臺(tái)風(fēng)、地震,、冰雹以及甲乙雙方同意成為不可抗力的其他事件,。如果由于不可抗力致使本合同任何一方無(wú)法按時(shí)履行合同義務(wù),則在受不可抗力影響的時(shí)間和范圍內(nèi)該方有權(quán)中止對(duì)其義務(wù)的履行,。
2. 發(fā)生不可抗力事件時(shí),,受不可抗力影響的一方應(yīng)盡快以書面形式將不可抗力的情況和原因通知另一方。同時(shí)必須在不可抗力發(fā)生后10日內(nèi),,以掛號(hào)信形式遞交當(dāng)?shù)赜嘘P(guān)公證機(jī)關(guān)的證明,。在任何情況下,如果不可抗力事件持續(xù)超過(guò)90天,,則任何一方有權(quán)在向?qū)Ψ桨l(fā)出終止通知后終止本合同,。
第十一條、通知與送達(dá)
合同履行中需接收對(duì)方文件時(shí),,甲方接收文件地址:河南省周口市****點(diǎn)擊登錄查看,,乙方接收文件地址: ,同時(shí)作為雙方發(fā)生爭(zhēng)議時(shí)接收人民法院相關(guān)法律文書的地址,無(wú)法送達(dá),、無(wú)人簽收或者拒絕簽收均視為送達(dá),。
第十二條、爭(zhēng)議解決
如本合同發(fā)生糾紛,,雙方首先協(xié)商解決,,協(xié)商不能解決的,,可以向甲方注冊(cè)地人民法院提起訴訟。在進(jìn)行訴訟期間,,除提交審理的事項(xiàng)外,,合同仍繼續(xù)履行。
第十三條,、其他事項(xiàng)
1. 本合同一式 陸 份,甲乙雙方各執(zhí) 叁 份,,具有同等法律效力,。
2. 本合同自雙方法定代表人或代理人簽字并蓋章之日起生效。
3. 本合同簽訂前,,乙方應(yīng)與甲方先簽訂《技術(shù)協(xié)議》,;合同簽訂后、施工前與甲方簽訂《安健環(huán)管理協(xié)議》,,協(xié)議作為本合同附件,,與合同具有同等法律效力。
4. 合同生效后任何變更必須經(jīng)甲乙雙方共同簽署方可有效,。
第十四條,、合同附件
1. 點(diǎn)擊登錄查看信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)協(xié)議(另附);
2. 點(diǎn)擊登錄查看信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)安健環(huán)管理協(xié)議(另附),;
3. 廉潔自律公約(另附),。
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)技術(shù)規(guī)范書
1、本技術(shù)規(guī)范書適用于點(diǎn)擊登錄查看信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目,。
2,、本合同價(jià)格是為完成本合同范圍內(nèi)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作而發(fā)生的各項(xiàng)應(yīng)有費(fèi)用,其中主要包括人工費(fèi),、企業(yè)管理費(fèi),、措施費(fèi)、完工后場(chǎng)地清理費(fèi),、政策性文件的調(diào)價(jià),、利潤(rùn)、規(guī)費(fèi),、稅金,、現(xiàn)行取費(fèi)中的其它費(fèi)用、各種施工措施費(fèi),、安全文明施工費(fèi)用,、保險(xiǎn)、合同執(zhí)行期間的政策性調(diào)整,、所有乙供材料的價(jià)差以及在工程實(shí)施期間各類風(fēng)險(xiǎn)等一切費(fèi)用,。
3,、本技術(shù)規(guī)范書中涉及有關(guān)商務(wù)方面的內(nèi)容,如與招標(biāo)文件的商務(wù)部分有矛盾時(shí),,以商務(wù)部分為準(zhǔn),。
4、投標(biāo)人投標(biāo)前須自行進(jìn)行現(xiàn)場(chǎng)踏勘,。
為深入貫徹《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,,全面落實(shí)《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》(國(guó)能發(fā)安全[2018] 72號(hào)),認(rèn)真履行電力監(jiān)控系統(tǒng)技術(shù)監(jiān)督職責(zé),,點(diǎn)擊登錄查看組織開展#1機(jī)組DCS系統(tǒng),、#2機(jī)DCS系統(tǒng) 、NCS系統(tǒng),、SIS系統(tǒng),、電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)工作。開展兩個(gè)機(jī)組的信息系統(tǒng)安全管理制度建設(shè),、技術(shù)措施建設(shè)和等級(jí)測(cè)評(píng)工作,,全面提高點(diǎn)擊登錄查看的網(wǎng)絡(luò)安全防護(hù)能力,有效保障業(yè)務(wù)系統(tǒng)的健康發(fā)展,。
(3) 投標(biāo)人資質(zhì)及業(yè)績(jī)要求
見商務(wù),。
四、投標(biāo)人負(fù)責(zé)項(xiàng)目?jī)?nèi)容
1,、安全物理環(huán)境測(cè)評(píng)
安全物理環(huán)境測(cè)評(píng)涉及的對(duì)象包括:物理機(jī)房,。
安全物理環(huán)境所使用的核查記錄表包括:《安全物理環(huán)境核查記錄表》。
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容,、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.1,。
表3.1 安全物理環(huán)境測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 物理位置選擇 | 訪談物理機(jī)房負(fù)責(zé)人,詢問(wèn)現(xiàn)有機(jī)房和辦公場(chǎng)地(放置終端計(jì)算機(jī)設(shè)備)的環(huán)境條件是否能夠滿足信息系統(tǒng)業(yè)務(wù)需求和安全管理需求,,是否具有基本的防震,、防風(fēng)和防雨等能力; 應(yīng)檢查機(jī)房和辦公場(chǎng)地的設(shè)計(jì)/驗(yàn)收文檔,,是否有機(jī)房和辦公場(chǎng)地所在建筑具有防震,、防風(fēng)和防雨等能力的說(shuō)明; 應(yīng)檢查機(jī)房和辦公場(chǎng)地是否在具有防震,、防風(fēng)和防雨等能力的建筑內(nèi),。 | 訪談、核查 |
| 2 | 物理訪問(wèn)控制 | 訪談機(jī)房安全負(fù)責(zé)人,,了解具有哪些控制機(jī)房進(jìn)出的能力,; 應(yīng)檢查機(jī)房安全管理制度,查看是否有關(guān)于機(jī)房出入方面的規(guī)定,; 應(yīng)檢查機(jī)房是否有進(jìn)出機(jī)房的登記記錄,; 應(yīng)檢查機(jī)房出入口是否有專人值守,,是否有值守記錄,以及進(jìn)出機(jī)房的人員登記記錄,;檢查機(jī)房是否不存在專人值守之外的出入口,; 應(yīng)檢查機(jī)房是否有進(jìn)入機(jī)房的人員身份鑒別措施,如戴有可見的身份辨識(shí)標(biāo)識(shí),; 應(yīng)檢查是否有來(lái)訪人員進(jìn)入機(jī)房的審批記錄,; 訪談機(jī)房安全負(fù)責(zé)人,了解通過(guò)哪些措施限制和監(jiān)控來(lái)訪人員的活動(dòng)范圍,。 | 訪談,、核查 |
| 3 | 防盜竊和防破壞 | 訪談機(jī)房安全負(fù)責(zé)人,詢問(wèn)目前采取了哪些防止設(shè)備,、介質(zhì)等丟失的保護(hù)措施; 應(yīng)檢查主要設(shè)備是否放置在機(jī)房?jī)?nèi)或其它不易被盜竊和破壞的可控范圍內(nèi),; 應(yīng)檢查是否有設(shè)備管理制度文檔,; 應(yīng)檢查主要設(shè)備或設(shè)備的主要部件的固定情況,是否不易被移動(dòng)或被搬走,,是否設(shè)置明顯的無(wú)法除去的標(biāo)記,; 訪談機(jī)房維護(hù)人員,詢問(wèn)通信線纜是否鋪設(shè)在隱蔽處,并檢查通信線纜鋪設(shè)是否在隱蔽處(如鋪設(shè)在地下或管道中等),; 應(yīng)檢查是否有通信線路布線文檔,; 訪談資產(chǎn)管理員,在介質(zhì)管理中,,是否進(jìn)行了分類標(biāo)識(shí),,是否存放在介質(zhì)庫(kù)或檔案室中; 應(yīng)檢查介質(zhì)的管理情況,,查看介質(zhì)是否有正確的分類標(biāo)識(shí),,是否存放在介質(zhì)庫(kù)或檔案室中; 應(yīng)檢查是否有介質(zhì)管理制度文檔,,介質(zhì)清單和使用記錄,; 應(yīng)檢查機(jī)房是否安裝了防盜報(bào)警設(shè)施,設(shè)施是否正常運(yùn)行,; 訪談機(jī)房維護(hù)人員,,詢問(wèn)是否對(duì)機(jī)房安裝的防盜報(bào)警設(shè)施進(jìn)行定期維護(hù)檢查,并查看運(yùn)行和報(bào)警記錄,; 應(yīng)檢查是否有機(jī)房防盜報(bào)警設(shè)施的安裝測(cè)試/驗(yàn)收?qǐng)?bào)告,。 | 訪談、核查 |
| 4 | 防雷擊 | 訪談物理安全負(fù)責(zé)人,,詢問(wèn)為防止雷擊事件導(dǎo)致重要設(shè)備被破壞采取了哪些防護(hù)措施,,機(jī)房建筑是否設(shè)置了避雷裝置,,是否通過(guò)驗(yàn)收或國(guó)家有關(guān)部門的技術(shù)檢測(cè); 訪談機(jī)房維護(hù)人員,,詢問(wèn)機(jī)房建筑避雷裝置是否有人定期進(jìn)行檢查和維護(hù),; 應(yīng)檢查機(jī)房是否有建筑防雷設(shè)計(jì)/驗(yàn)收文檔; 訪談物理安全負(fù)責(zé)人,,詢問(wèn)機(jī)房計(jì)算機(jī)供電系統(tǒng)是否有交流電源地線,; 訪談機(jī)房維護(hù)人員,詢問(wèn)機(jī)房計(jì)算機(jī)系統(tǒng)接地(交流工作接地,、安全保護(hù)接地,、防雷接地)是否符合GB50174-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》的要求(交流工作接地的接地電阻不應(yīng)大于4Ω,安全保護(hù)地的接地電阻不應(yīng)大于4Ω,;防雷保護(hù)地(處在有防雷設(shè)施的建筑群中可不設(shè)此地)的接地電阻不應(yīng)大于10Ω),; 查看建筑防雷設(shè)計(jì)/驗(yàn)收文檔中是否有地線連接要求的描述。 | 訪談,、核查 |
| 5 | 防火 | 訪談物理安全負(fù)責(zé)人,,詢問(wèn)機(jī)房是否設(shè)置了滅火設(shè)備,是否設(shè)置了火災(zāi)自動(dòng)報(bào)警系統(tǒng),是否有人負(fù)責(zé)維護(hù)該系統(tǒng)的運(yùn)行,; 訪談機(jī)房值守人員,,詢問(wèn)對(duì)機(jī)房出現(xiàn)的消防安全隱患是否能夠及時(shí)報(bào)告并得到排除;是否能夠正確使用滅火設(shè)備和火災(zāi)自動(dòng)報(bào)警系統(tǒng),; 應(yīng)檢查機(jī)房是否設(shè)置了滅火設(shè)備,,擺放位置是否合理,有效期是否合格,; 應(yīng)檢查機(jī)房火災(zāi)自動(dòng)報(bào)警系統(tǒng)是否正常工作,,查看是否有運(yùn)行記錄、報(bào)警記錄,、定期檢查和維修記錄,;應(yīng)檢查是否有有關(guān)機(jī)房消防的管理制度文檔,機(jī)房防火設(shè)計(jì)/驗(yàn)收文檔,,火災(zāi)自動(dòng)報(bào)警系統(tǒng)的設(shè)計(jì)/驗(yàn)收文檔,。 | 訪談、核查 |
| 6 | 防水和防潮 | 訪談物理安全負(fù)責(zé)人,,詢問(wèn)機(jī)房建設(shè)是否有防水防潮措施,;如果機(jī)房?jī)?nèi)有上/下水管安裝,是否穿過(guò)屋頂和活動(dòng)地板下,,穿過(guò)墻壁和樓板的水管是否采取了可靠的保護(hù)措施,; 訪談機(jī)房維護(hù)人員,詢問(wèn)機(jī)房是否出現(xiàn)過(guò)漏水和返潮事件;如果機(jī)房?jī)?nèi)有上下水管安裝,,是否經(jīng)常檢查是否有漏水情況,; 應(yīng)檢查機(jī)房是否有建筑防水和防潮設(shè)計(jì)/驗(yàn)收文檔,是否能夠滿足機(jī)房防水和防潮的需求,;如果有管道穿過(guò)主機(jī)房墻壁和樓板處,,應(yīng)檢查是否置套管,管道與套管之間是否采取可靠的密封措施,; 應(yīng)檢查機(jī)房是否不存在屋頂和墻壁等出現(xiàn)過(guò)漏水,、滲透和返潮現(xiàn)象,機(jī)房及其環(huán)境是否不存在明顯的漏水和返潮的威脅,;如果出現(xiàn)漏水,、滲透和返潮現(xiàn)是否能夠及時(shí)修復(fù)解決; 訪談物理安全負(fù)責(zé)人,,詢問(wèn)在濕度較高地區(qū)或季節(jié)是否有人負(fù)責(zé)機(jī)房防水防潮事宜,,配備除濕裝置,并有濕度記錄,; 訪談機(jī)房維護(hù)人員,,如果出現(xiàn)機(jī)房水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透現(xiàn)象是否及時(shí)采取防范措施; 訪談機(jī)房維護(hù)人員,,詢問(wèn)是否有防止出現(xiàn)機(jī)房地下積水的轉(zhuǎn)移與滲透的措施,,是否有防水防潮處理記錄,。 | 訪談,、核查 |
| 7 | 防靜電 | 訪談物理安全負(fù)責(zé)人,詢問(wèn)機(jī)房關(guān)鍵設(shè)備是否采用必要的接地防靜電措施,; 訪談機(jī)房維護(hù)人員,,詢問(wèn)機(jī)房是否存在靜電問(wèn)題或因靜電引起的故障事件; 應(yīng)檢查機(jī)房是否有防靜電設(shè)計(jì)/驗(yàn)收文檔,; 應(yīng)檢查機(jī)房是否有安全接地,,查看機(jī)房是否明顯存在靜電現(xiàn)象。 | 訪談,、核查 |
| 8 | 溫濕度控制 | 訪談物理安全負(fù)責(zé)人,,詢問(wèn)機(jī)房是否配備了溫濕度自動(dòng)調(diào)節(jié)設(shè)施,保證溫濕度能夠滿足計(jì)算機(jī)設(shè)備運(yùn)行的要求,,是否在機(jī)房管理制度中規(guī)定了溫濕度控制的要求,,是否有人負(fù)責(zé)此項(xiàng)工作; 訪談機(jī)房維護(hù)人員,,詢問(wèn)是否定期檢查和維護(hù)機(jī)房的溫濕度自動(dòng)調(diào)節(jié)設(shè)施,,詢問(wèn)是否出現(xiàn)過(guò)溫濕度影響系統(tǒng)運(yùn)行的事件; 應(yīng)檢查機(jī)房是否有溫濕度控制設(shè)計(jì)/驗(yàn)收文檔; 應(yīng)檢查溫濕度自動(dòng)調(diào)節(jié)設(shè)施是否能夠正常運(yùn)行,,查看溫濕度記錄,、運(yùn)行記錄和維護(hù)記錄;查看機(jī)房溫濕度是否滿足GB 2887-89《計(jì)算站場(chǎng)地技術(shù)條件》的要求(A級(jí):溫度夏季23±2℃,,冬季20±2℃,,濕度45~65%;B級(jí):溫度15~30℃,,濕度40~70%),。 | 訪談、核查 |
| 9 | 電力供應(yīng) | 訪談物理安全負(fù)責(zé)人,,詢問(wèn)計(jì)算機(jī)系統(tǒng)供電線路上是否設(shè)置了穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備,; 應(yīng)檢查機(jī)房,查看計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備是否正常運(yùn)行,; 訪談機(jī)房維護(hù)人員,,詢問(wèn)是否對(duì)在計(jì)算機(jī)系統(tǒng)供電線路上的穩(wěn)壓器、過(guò)電壓防護(hù)設(shè)備等進(jìn)行定期檢查和維護(hù),,是否有檢查和維護(hù)記錄,;是否能夠控制電源穩(wěn)壓范圍滿足計(jì)算機(jī)系統(tǒng)運(yùn)行正常; 應(yīng)檢查機(jī)房是否有電力供應(yīng)安全設(shè)計(jì)/驗(yàn)收文檔,,是否在其中標(biāo)明配備穩(wěn)壓器,、過(guò)電壓防護(hù)設(shè)備等要求; 訪談物理安全負(fù)責(zé)人,,詢問(wèn)是否設(shè)置了短期備用電源設(shè)備(如UPS),,供電時(shí)間是否滿足系統(tǒng)最低電力供應(yīng)需求; 應(yīng)檢查機(jī)房,,查看計(jì)算機(jī)系統(tǒng)供電線路上的短期備用電源設(shè)備是否正常運(yùn)行,; 訪談機(jī)房維護(hù)人員,詢問(wèn)是否對(duì)在計(jì)算機(jī)系統(tǒng)供電線路上的短期備用電源設(shè)備等進(jìn)行定期檢查和維護(hù),,是否有檢查和維護(hù)記錄,; 應(yīng)檢查機(jī)房是否有電力供應(yīng)安全設(shè)計(jì)/驗(yàn)收文檔,是否在其中標(biāo)明配備短期備用電源設(shè)備等要求,。 | 訪談,、核查 |
| 10 | 電磁防護(hù) | 訪談機(jī)房維護(hù)人員,詢問(wèn)是否做到電源線和通信線纜隔離,;是否出現(xiàn)過(guò)因外界電磁干擾等問(wèn)題引發(fā)的故障,; 應(yīng)檢查機(jī)房是否有電磁防護(hù)設(shè)計(jì)/驗(yàn)收文檔; 應(yīng)檢查機(jī)房布線,,查看是否做到電源線和通信線纜隔離。 | 訪談、核查 |
2,、安全通信網(wǎng)絡(luò)測(cè)評(píng)
安全通信網(wǎng)絡(luò)測(cè)評(píng)涉及的對(duì)象包括:網(wǎng)絡(luò)架構(gòu),、通信傳輸、可信驗(yàn)證,。
安全通信網(wǎng)絡(luò)所使用的核查記錄表包括:《安全通信網(wǎng)絡(luò)核查記錄表》,。
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.2,。
表3.2 安全通信網(wǎng)絡(luò)測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 網(wǎng)絡(luò)架構(gòu) | 核查業(yè)務(wù)高峰時(shí)期一段時(shí)間內(nèi)主要網(wǎng)絡(luò)設(shè)備的cpu使用率和內(nèi)存使用率是否滿足需要,。核查網(wǎng)絡(luò)設(shè)備是否從未出現(xiàn)過(guò)因設(shè)備性能問(wèn)題導(dǎo)致的宕機(jī)情況。測(cè)試驗(yàn)證設(shè)備是否滿足業(yè)務(wù)高峰期需求,。核查綜合網(wǎng)管系統(tǒng)各通信鏈路帶寬是否滿足高峰時(shí)段的業(yè)務(wù)流量需要,;測(cè)試驗(yàn)證網(wǎng)絡(luò)帶寬是否滿足業(yè)務(wù)高峰期需要。核查是否依據(jù)重要性,、部門等因素劃分不同網(wǎng)絡(luò)區(qū)**** | 訪談,、核查 |
| 2 | 通信傳輸 | 核查是否在通信過(guò)程中使用校驗(yàn)技術(shù)或密碼技術(shù)保證其完整性;測(cè)試驗(yàn)證密碼技術(shù)設(shè)備或組件能否保證通信過(guò)程中數(shù)據(jù)的完整性,。核查是否在通信過(guò)程中采取保密措施,,具體采用哪些技術(shù)措施,;測(cè)試驗(yàn)證通信過(guò)程中是否對(duì)數(shù)據(jù)進(jìn)行加密。 | 訪談,、核查 |
| 3 | 可信驗(yàn)證 | 核查是否基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序,、系統(tǒng)程序,、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證;核查是否在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證,;測(cè)試驗(yàn)證,,當(dāng)檢測(cè)到通信設(shè)備的可信性受到破壞后是否進(jìn)行報(bào)警;測(cè)試驗(yàn)證,,驗(yàn)證結(jié)果是否以審計(jì)記錄的形式送至安全管理中心,。 | 訪談、核查 |
3,、安全區(qū)域邊界測(cè)評(píng)
安全區(qū)域邊界測(cè)評(píng)涉及的對(duì)象包括:邊界防護(hù),、訪問(wèn)控制、入侵防范、惡意代碼和垃圾郵件防范,、安全審計(jì),、可信驗(yàn)證。
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容,、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.3,。
表3.3 網(wǎng)絡(luò)安全測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 邊界防護(hù) | 檢查網(wǎng)絡(luò)邊界處是否部署訪問(wèn)控制設(shè)備;檢查設(shè)備配置信息是否指定端口進(jìn)行跨越邊間的網(wǎng)絡(luò)通信,,指定端口是否配置并啟用安全策略,;采用其他技術(shù)手段(如非法無(wú)線網(wǎng)絡(luò)設(shè)備定位、核查設(shè)備配置信息等)核查或測(cè)試驗(yàn)證是否不存在其他未受控端口進(jìn)行跨越邊界的網(wǎng)絡(luò)通信,。檢查是否采用技術(shù)措施防止非授權(quán)設(shè)備接入內(nèi)部網(wǎng)絡(luò),;檢查所有路由器和交換機(jī)相關(guān)設(shè)備閑置端口是否關(guān)閉。檢查是否采用技術(shù)措施防止內(nèi)部用戶存在非法外聯(lián)行為,。檢查無(wú)線網(wǎng)絡(luò)的部署方式,,是否單獨(dú)組網(wǎng)后再連接到有線網(wǎng)絡(luò);檢查無(wú)線網(wǎng)絡(luò)是否通過(guò)受控的邊界防護(hù)設(shè)備接入到內(nèi)部有線網(wǎng)絡(luò),。檢查網(wǎng)絡(luò)邊界或區(qū)**** | 訪談,、核查 |
| 2 | 訪問(wèn)控制 | 檢查網(wǎng)絡(luò)邊界或區(qū)域之間是否部署訪問(wèn)控制設(shè)備并啟用訪問(wèn)控制策略;檢查設(shè)備最后一條訪問(wèn)控制策略是否禁止所有網(wǎng)絡(luò)通信,。應(yīng)檢查是否不存在多余或無(wú)效的訪問(wèn)控制策略,;應(yīng)檢查不同的訪問(wèn)控制策略之間的邏輯關(guān)系和前后排序順序是否合理。檢查設(shè)備的訪問(wèn)控制策略中是否設(shè)定了源地址,、目的地址,、源端口、目的端口和規(guī)范等相關(guān)配置參數(shù),;測(cè)試驗(yàn)證訪問(wèn)控制策略中設(shè)定的相關(guān)配置參數(shù)是否有效,。檢查是否采用會(huì)話認(rèn)證等機(jī)制為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力;應(yīng)測(cè)試驗(yàn)證是否為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力,。檢查是否部署訪問(wèn)控制設(shè)備并啟用訪問(wèn)控制策略,;測(cè)試驗(yàn)證設(shè)備訪問(wèn)控制策略是否能夠?qū)M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用規(guī)范和應(yīng)用內(nèi)容的訪問(wèn)控制。 | 訪談,、核查 |
| 3 | 入侵防范 | 核查相關(guān)系統(tǒng)或組件是否能夠檢測(cè)從外部發(fā)起的網(wǎng)絡(luò)攻擊行為;核查相關(guān)系統(tǒng)或組件的規(guī)則庫(kù)版本或威脅情報(bào)庫(kù)是否已經(jīng)更新到最新版本;核查相關(guān)系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn);應(yīng)測(cè)試驗(yàn)證相關(guān)系統(tǒng)或組件的配置信息或安全策略是否有效,。核查相關(guān)系統(tǒng)或組件是否能夠檢測(cè)到從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為;核查相關(guān)系統(tǒng)或組件的規(guī)則庫(kù)版本或威脅情報(bào)庫(kù)是否已經(jīng)更新到最新版本;核查相關(guān)系統(tǒng)或組件的配置信息或安全策略是否能夠覆蓋網(wǎng)絡(luò)所有關(guān)鍵節(jié)點(diǎn);應(yīng)測(cè)試驗(yàn)證相關(guān)系統(tǒng)或組件的配置信息或安全策略是否有效。核查是否部署相關(guān)系統(tǒng)或組件對(duì)新型網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和分析;應(yīng)測(cè)試驗(yàn)證是否對(duì)網(wǎng)絡(luò)行為進(jìn)行分析,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析,。核查相關(guān)系統(tǒng)或組件的記錄是否包括攻擊源IP,、攻擊類型、攻擊目標(biāo),、攻擊時(shí)間等相關(guān)內(nèi)容;應(yīng)測(cè)試驗(yàn)證相關(guān)系統(tǒng)或組件的報(bào)警策略是否有效,。 | 訪談,、核查 |
| 4 | 惡意代碼和垃圾郵件防范 | 核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署防惡意代碼產(chǎn)品等技術(shù)措施;核查防惡意代碼產(chǎn)品運(yùn)行是否正常,惡意代碼庫(kù)是否已經(jīng)更新到最新;應(yīng)測(cè)試驗(yàn)證相關(guān)系統(tǒng)或組件的安全策略是否有效。核查在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否部署了防垃圾郵件產(chǎn)品等技術(shù)措施;核查防垃圾郵件產(chǎn)品運(yùn)行是否正常,防垃圾郵件規(guī)則庫(kù)是否已經(jīng)更新到最新;應(yīng)測(cè)試驗(yàn)證相關(guān)系統(tǒng)或組件的安全策略是否有效,。 | |
| 5 | 安全審計(jì) | 核查是否部署了綜合安全審計(jì)系統(tǒng)或類似功能的系統(tǒng)平臺(tái);核查安全審計(jì)范圍是否覆蓋到每個(gè)用戶;核查是否對(duì)重要的用戶行為和重要安全事件進(jìn)行了審計(jì),。核查審計(jì)記錄信息是否包括事件的日期和時(shí)間、用戶,、事件類型,、事件是否成功及其他與審計(jì)相關(guān)的信息。核查是否采取了技術(shù)措施對(duì)審計(jì)記錄進(jìn)行保護(hù);核查是否采取技術(shù)措施對(duì)審計(jì)記錄進(jìn)行定期備份,并核查其備份策略,。檢查是否對(duì)遠(yuǎn)程訪問(wèn)用戶及互聯(lián)網(wǎng)訪問(wèn)用戶行為單獨(dú)進(jìn)行審計(jì)分析,。 | 訪談、核查 |
| 6 | 可信驗(yàn)證 | 檢查是否基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序,、系統(tǒng)程序,、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證;檢查是否在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證,;測(cè)試驗(yàn)證,,當(dāng)檢測(cè)到通信設(shè)備的可信性受到破壞后是否進(jìn)行報(bào)警;測(cè)試驗(yàn)證,,驗(yàn)證結(jié)果是否以審計(jì)記錄的形式送至安全管理中心,。 | 訪談、核查 |
4,、安全計(jì)算環(huán)境測(cè)評(píng)
安全計(jì)算環(huán)境測(cè)評(píng)所使用的核查記錄表包括:《安全計(jì)算環(huán)境測(cè)評(píng)核查表》,。
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.4,。
表3.4 安全計(jì)算環(huán)境測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 身份鑒別 | 核查用戶在登錄時(shí)是否采用了身份鑒別措施,;否具有唯一性;核查用戶配置信息或測(cè)試驗(yàn)證是否不存在空口令用戶,;核查用戶鑒別信息是否具有復(fù)雜度要求并定期更換,。核查是否配置并啟用了登錄失敗處理功能;核查是否配置并啟用了限制非法登錄功能,,非法登錄達(dá)到一定次數(shù)后采取特定動(dòng)作,,如賬戶鎖定等;核查是否配置并啟用了登錄連接超時(shí)及自動(dòng)退出功能,。核查是否采用加密等安全方式對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程管理,,防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽,。核查是否采用動(dòng)態(tài)口令 ,、數(shù)字證書 、生物技術(shù)和設(shè)備指紋等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別,;核查其中一種鑒別技術(shù)是否使用密碼技術(shù)來(lái)實(shí)現(xiàn),。 | 訪談,、核查 |
| 2 | 訪問(wèn)控制 | 核查是否為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置悄況;核查是否已禁用或限制匿名,、默認(rèn)賬戶的訪問(wèn)權(quán)限,。核查是否已經(jīng)重命名默認(rèn)賬戶或默認(rèn)賬戶已被刪除;核查是否已修改默認(rèn)賬戶的默認(rèn)口令,。核查是否不存在多余或過(guò)期賬戶,,管理員用戶與賬戶之間是否一一對(duì)應(yīng);應(yīng)測(cè)試驗(yàn)證多余的,、過(guò)期的賬戶是否被刪除或停用,。核查是否進(jìn)行角色劃分;核查管理用戶的權(quán)限是否已進(jìn)行分離,;核查管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限,。核查是否由授權(quán)主體(如管理用戶)負(fù)責(zé)配置訪問(wèn)控制策略;核查授權(quán)主體是否依據(jù)安全策略配詈了主體對(duì)客體的訪問(wèn)規(guī)則,;應(yīng)測(cè)試驗(yàn)證用戶是否有可越權(quán)訪問(wèn)情形,。核查訪問(wèn)控制策略的控制粒度是否達(dá)到主體為用戶級(jí)或進(jìn)程級(jí),客體為文件,、數(shù)據(jù)庫(kù)表 ,、記錄或字段級(jí)。核查是否對(duì)主體,、客體設(shè)置了安全標(biāo)記,;應(yīng)測(cè)試驗(yàn)證是否依據(jù)主體、客體安全標(biāo)記控制主體對(duì)客體訪問(wèn)的強(qiáng)制訪問(wèn)控制策略,。 | 訪談,、核查 |
| 3 | 安全審計(jì) | 核查是否開啟安全審計(jì)功能;核查安全審計(jì)范圍是否覆蓋到每個(gè)用戶,;核查是否對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì),。核查審計(jì)記錄信息是否包括事件的日期和時(shí)間、用戶,、事件類型,、事件是否成功及其他與審計(jì)相關(guān)的信息。核查是否采取了保護(hù)措施對(duì)審計(jì)記錄進(jìn)行保護(hù),;核查是否采取技術(shù)措施對(duì)審計(jì)記錄進(jìn)行定期備份,,并核查其備份策略。測(cè)試驗(yàn)證通過(guò)非審計(jì)管理員的其他賬戶來(lái)中斷審計(jì)進(jìn)程,,驗(yàn)證審計(jì)進(jìn)程是否受到保護(hù),。 | 訪談、核查 |
| 4 | 入侵防范 | 核查是否遵循最小安裝原則,;核查是否未安裝非必要的組件和應(yīng)用程序,。核查是否關(guān)閉了非必要的系統(tǒng)服務(wù)和默認(rèn)共享,;核查是否不存在非必要的高危端口。核查配置文件或參數(shù)是否對(duì)終端接入范圍進(jìn)行限制,。核查系統(tǒng)設(shè)計(jì)文檔的內(nèi)容是否包括數(shù)據(jù)有效性校驗(yàn)功能的內(nèi)容或模塊,;應(yīng)測(cè)試驗(yàn)證是否對(duì)人機(jī)接口或通信接口輸入的內(nèi)容進(jìn)行有效性檢驗(yàn)。應(yīng)通過(guò)漏洞掃描,、滲透測(cè)試等方式核查是否不存在高風(fēng)險(xiǎn)漏洞,;核查是否在經(jīng)過(guò)充分測(cè)試評(píng)估后及時(shí)修補(bǔ)漏洞。訪談并核查是否有入侵檢測(cè)的措施,;核查在發(fā)生嚴(yán)重入侵事件時(shí)是否提供報(bào)告,。 | 訪談、核查 |
| 5 | 惡意代碼防范 | 核查是否安裝了防惡意代碼軟件或相應(yīng)功能的軟件,,定期進(jìn)行升級(jí)和更新防惡意代碼庫(kù),;核查是否采用主動(dòng)免疫可信驗(yàn)證技術(shù)及時(shí)識(shí)別人侵和病毒行為;核查當(dāng)識(shí)別入侵和病毒行為時(shí)是否將其有效阻斷,。 | 訪談,、核查 |
| 6 | 可信驗(yàn)證 | 核查是否基千可信根對(duì)計(jì)舞設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序,、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證,;核查是否在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證;應(yīng)測(cè)試驗(yàn)證當(dāng)檢測(cè)到計(jì)算設(shè)備的可信性受到破壞后是否進(jìn)行報(bào)菩,;應(yīng)測(cè)試驗(yàn)證結(jié)果是否以審計(jì)記錄的形式送至安全管理中心,。 | 訪談、核查 |
| 7 | 數(shù)據(jù)完整性 | 核查系統(tǒng)設(shè)計(jì)文檔,,鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù),、重要配置數(shù)據(jù),、重要視頻數(shù)據(jù)和重要個(gè)人信息等在傳輸過(guò)程中是否采用了校驗(yàn)技術(shù)或密碼技術(shù)保證完整性;應(yīng)測(cè)試驗(yàn)證在傳輸過(guò)程中對(duì)鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù),、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù),、重要視頻數(shù)據(jù)和重要個(gè)人信息等進(jìn)行篡改,,是否能夠檢測(cè)到數(shù)據(jù)在傳輸過(guò)程中的完整性受到破壞并能夠及時(shí)恢復(fù)。核查設(shè)計(jì)文檔,,是否采用了校驗(yàn)技術(shù)或密碼技術(shù)保證鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù),、重要視頻數(shù)據(jù)和重要個(gè)人信息等在存儲(chǔ)過(guò)程中的完整性,;核查是否采用技術(shù)措施(如數(shù)據(jù)安全保護(hù)系統(tǒng)等)保證鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù),、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù),、重要視頻數(shù)據(jù)和重要個(gè)人信息等在存儲(chǔ)過(guò)程中的完整性,;應(yīng)測(cè)試驗(yàn)證在存儲(chǔ)過(guò)程中對(duì)鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù),、重要審計(jì)數(shù)據(jù),、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等進(jìn)行篡改,,是否能夠檢測(cè)到數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性受到破壞并能夠及時(shí)恢復(fù),。 | 訪談、核查 |
| 8 | 數(shù)據(jù)保密性 | 核查系統(tǒng)設(shè)計(jì)文檔,,鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等在傳輸過(guò)程中是否采用密碼技術(shù)保證保密性;應(yīng)通過(guò)嗅探等方式抓取傳輸過(guò)程中的數(shù)據(jù)包,,鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等在傳輸過(guò)程中是否進(jìn)行了加密處理。核查系統(tǒng)設(shè)計(jì)文檔,,鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等在傳輸過(guò)程中是否采用密碼技術(shù)保證保密性;核查是否采用技術(shù)措施(如數(shù)據(jù)安全保護(hù)系統(tǒng)等)保證鑒別數(shù)據(jù),、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等在存儲(chǔ)過(guò)程中的保密性,;應(yīng)測(cè)試驗(yàn)證是否對(duì)指定的數(shù)據(jù)進(jìn)行加密處理。 | 訪談,、核查 |
| 9 | 數(shù)據(jù)備份恢復(fù) | 核查是否按照備份策略進(jìn)行本地備份,;核查備份策略設(shè)置是否合理、配置是否正確,;核查備份結(jié)果是否與備份策略一致,;核查近期恢復(fù)測(cè)試記錄是否能夠進(jìn)行正常的數(shù)據(jù)恢復(fù)。核查是否提供異地實(shí)時(shí)備份功能,,并通過(guò)網(wǎng)絡(luò)將主要配置數(shù)據(jù),、主要業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)備份至備用場(chǎng)地。核查重要數(shù)據(jù)處理系統(tǒng)(包括邊界路由器,、邊界防火墻,、核心交換機(jī)、應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等)是否采用熱冗余方式部署,。 | 訪談,、核查 |
| 10 | 剩余信息保護(hù) | 核查相關(guān)配詈信息或系統(tǒng)設(shè)計(jì)文檔,,用戶的鑒別信息所在的存儲(chǔ)空間被釋放或重新分配前是否得到完全清除。核查相關(guān)配置信息或系統(tǒng)設(shè)計(jì)文檔,,敏感數(shù)據(jù)所在的存儲(chǔ)空間被釋放或重新分配給其他用戶前是否得到完全清除,。 | 訪談、核查 |
5,、安全管理中心測(cè)評(píng)
注:安全管理的測(cè)評(píng)(包括安全管理制度,、安全管理機(jī)構(gòu)、人員安全管理,、系統(tǒng)建設(shè)管理,、系統(tǒng)運(yùn)維管理)采用人員訪談和文檔核查方式,測(cè)評(píng)對(duì)象為安全管理文檔及相關(guān)執(zhí)行記錄,,以下具體章節(jié)中對(duì)測(cè)評(píng)對(duì)象不再進(jìn)行贅述,。
安全管理中心測(cè)評(píng)涉及的測(cè)評(píng)對(duì)象包括:系統(tǒng)管理、審計(jì)管理,、安全管理,、集中管控。
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容,、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.5,。
表3.5 安全管理中心測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 系統(tǒng)管理 | 核查是否對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備,、服務(wù)器等設(shè)備進(jìn)行集中管理(集中管理可以通過(guò)堡壘機(jī)等系統(tǒng)集中進(jìn)行管理,,也可以通過(guò)專用終端和區(qū)**** | 訪談、核查 |
| 2 | 審計(jì)管理 | 檢查是否具有集中審計(jì)管理設(shè)備,,集中審計(jì)范圍是否覆蓋網(wǎng)絡(luò)設(shè)備,、安全設(shè)備、服務(wù)器,、數(shù)據(jù)庫(kù),、業(yè)務(wù)應(yīng)用軟件等重要設(shè)備;使用專用終端進(jìn)行審計(jì)管理的設(shè)備是否通過(guò)審計(jì)管理員進(jìn)行審計(jì)管理,;是否對(duì)審計(jì)管理員進(jìn)行身份鑒別,;核查是否只允許審計(jì)管理員通過(guò)特定的命令或操作界面進(jìn)行審計(jì)管理操作;核查是否對(duì)審計(jì)管理員的操作進(jìn)行審計(jì),。核查是否對(duì)審計(jì)管理員進(jìn)行權(quán)限劃分,。核查審計(jì)管理員的權(quán)限是否有別于系統(tǒng)管理員和安全管理員。核查是否只有審計(jì)管理員可以查看和分析審計(jì)數(shù)據(jù),。 | 訪談,、核查 |
| 3 | 安全管理 | 檢查是否對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器等設(shè)備進(jìn)行集中管理,;且集中管理設(shè)備是否通過(guò)安全管理員進(jìn)行安全管理,,并對(duì)安全管理員進(jìn)行身份鑒別;核查是否只允許安全管理員通過(guò)特定的命令或操作界面進(jìn)行安全管理操作,;即:是否通過(guò)權(quán)限控制的方式,,使用各個(gè)被管理對(duì)象的安全管理員賬號(hào)進(jìn)行系統(tǒng)管理操作。核查是否對(duì)安全管理員的操作進(jìn)行審計(jì),。核查是否已對(duì)安全管理員進(jìn)行權(quán)限劃分,。核查安全管理員的權(quán)限是否有別于系統(tǒng)管理員和審計(jì)管理員,。核查是否只有安全管理員可以配置與安全策略有關(guān)的參數(shù),。 | 訪談、核查 |
| 4 | 集中管控 | 核查網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,,是否劃分出單獨(dú)的網(wǎng)絡(luò)區(qū)**** | 訪談,、核查 |
6、安全管理制度測(cè)評(píng)
安全管理制度測(cè)評(píng)所使用的核查記錄表包括:《安全管理制度核查記錄表》,。
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容,、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.6。
表3.6 安全管理制度測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 安全策略 | 核查網(wǎng)絡(luò)安全工作的總體方針和安全策略文件是否明確機(jī)構(gòu)安全工作的總體目標(biāo),、范圍,、原則和各類安全策略。 | 訪談,、核查 |
| 2 | 管理制度 | 核查是否有安全管理制度,。管理制度是否覆蓋物理、網(wǎng)絡(luò),、主機(jī)系統(tǒng),、數(shù)據(jù)、應(yīng)用,、建設(shè)和運(yùn)維等管理內(nèi)容,。核查是否具有日常管理操作的操作規(guī)程,如系統(tǒng)維護(hù)手冊(cè)和用戶操作規(guī)程等,。核查是否具有總體方針策略文件,、管理制度和操作規(guī)程、記錄表單等,。核查管理體系是否全面并且和各要素之間是否具有關(guān)聯(lián)性和一致性,。 | 訪談,、核查 |
| 3 | 制定和發(fā)布 | 訪談是否由專門的部門或人員負(fù)責(zé)制定安全管理制度及參與制定人員有哪些,。核查人員職責(zé)、崗位設(shè)置等相關(guān)管理制度文檔是否明確由專門的部門或人員負(fù)責(zé)安全管理制度的制定工作,。核查制度制定和發(fā)布要求管理文檔是否說(shuō)明安全管理制度的制定和發(fā)布程序,、格式要求及版本編號(hào)等相關(guān)內(nèi)容。核查安全管理制度的收發(fā)登記記錄是否通過(guò)正式,、有效的方式收發(fā),,如正式發(fā)文,、領(lǐng)導(dǎo)簽署和單位蓋章等,,是否注明發(fā)布范圍。 | 訪談,、核查 |
| 4 | 集評(píng)審和修訂 | 訪談信息/網(wǎng)絡(luò)安全主管是否定期對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定,。核查是否具有安全管理制度的審定或論證記錄,,如果對(duì)制度做過(guò)修訂,,核查是否有修訂版本的安全管理制度,。 | 訪談、核查 |
7,、安全管理機(jī)構(gòu)測(cè)評(píng)
安全管理機(jī)構(gòu)測(cè)評(píng)所使用的核查記錄表包括:《安全管理機(jī)構(gòu)核查記錄表》,。
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容,、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.7,。
表3.7 安全管理機(jī)構(gòu)測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 崗位設(shè)置 | 訪談網(wǎng)絡(luò)安全負(fù)責(zé)人,,是否成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組,核查相關(guān)文檔是否明確了網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組構(gòu)成情況和相關(guān)職責(zé),,詢問(wèn)小組組長(zhǎng)由誰(shuí)擔(dān)任,核查是否是單位領(lǐng)導(dǎo),。訪談網(wǎng)絡(luò)安全負(fù)責(zé)人,,是否設(shè)立網(wǎng)絡(luò)安全管理工作的職能部門,部門名稱是什么,,核查文檔內(nèi)容是否明確網(wǎng)絡(luò)安全職能部門和負(fù)責(zé)人職責(zé),,核查文檔內(nèi)容是否包含安全管理各個(gè)方面的負(fù)責(zé)人崗位,都由誰(shuí)擔(dān)任,。訪談網(wǎng)絡(luò)安全負(fù)責(zé)人,,是否設(shè)立安全管理崗位,分別由誰(shuí)擔(dān)任,,核查部門職責(zé)文檔,,否明確了各部門及各崗位職責(zé)。 | 訪談,、核查 |
| 2 | 人員配備 | 訪談網(wǎng)絡(luò)安全負(fù)責(zé)人,,是否配備系統(tǒng)管理員、審計(jì)管理員和安全管理員,,分別由誰(shuí)擔(dān)任,,核查部門職責(zé)文檔,內(nèi)容是否包含各崗位人員配備情況,。核查記錄表單類文檔,,安全管理員是否專職。 | 訪談,、核查 |
| 3 | 授權(quán)和審批 | 核查管理制度類文檔和記錄表單類文檔,,是否明確各部門,、各崗位審批事項(xiàng),;核查部門職責(zé)文檔是否明確各崗位審批事項(xiàng)。 核查操作規(guī)程類文檔和記錄表單類文檔,,是否明確重要操作過(guò)程中的逐級(jí)審批程序;核查相關(guān)記錄是否與相關(guān)制度規(guī)范一致。訪談網(wǎng)絡(luò)安全負(fù)責(zé)人,是否對(duì)各類審批事項(xiàng)進(jìn)行更新,;核查是否具有定期審查審批事項(xiàng)的記錄。 | 訪談,、核查 |
| 4 | 溝通和合作 | 訪談網(wǎng)絡(luò)安全負(fù)責(zé)人,,是否定期組織各類管理人員、部門開會(huì),,共同協(xié)作處理網(wǎng)絡(luò)安全問(wèn)題,,核查是否具有各類管理人員之間、組織內(nèi)部機(jī)構(gòu)和網(wǎng)絡(luò)安全管理部門之間的會(huì)議記錄文檔,。 訪談網(wǎng)絡(luò)安全負(fù)責(zé)人,,是否定期與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商,、業(yè)界專家及安全組織開展合作和溝通,;核查是否具有與網(wǎng)絡(luò)安全職能部門、各類供應(yīng)商,、業(yè)界專家及安全組織等會(huì)議記錄文檔,。核查是否建立外聯(lián)單位聯(lián)系列表,內(nèi)容是否包含外聯(lián)單位名稱,、合作內(nèi)容,、聯(lián)系人和聯(lián)系方式等信息。 | 訪談,、核查 |
| 5 | 審核和檢查 | 訪談網(wǎng)絡(luò)安全負(fù)責(zé)人,,是否定期進(jìn)行安全檢查;核查相應(yīng)記錄是否包括了系統(tǒng)日常運(yùn)行,、系統(tǒng)漏洞和數(shù)據(jù)備份等情況,。 訪談網(wǎng)絡(luò)安全負(fù)責(zé)人,是否定期進(jìn)行全面安全檢查,;核查相應(yīng)記錄是否包括了現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的一致性,、安全管理制度的執(zhí)行情況等,。核查是否制定安全檢查表格實(shí)施安全檢查,并查看通報(bào)記錄,。 | 訪談,、核查 |
8、安全管理人員測(cè)評(píng)
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容,、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.8,。
表3.8安全管理人員測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 人員錄用 | 詢問(wèn)是否有授權(quán)專門部門或人員負(fù)責(zé)人員錄用,; 應(yīng)檢查是否具有人員錄用時(shí)對(duì)錄用人身份、專業(yè)資格等進(jìn)行審查的相關(guān)文檔或記錄,,查看是否記錄審查內(nèi)容和審查結(jié)果等,; 應(yīng)檢查保密規(guī)范,查看是否有保密范圍,、保密責(zé)任,、違約責(zé)任、規(guī)范的有效期限和責(zé)任人簽字等,。 | 訪談,、核查 |
| 2 | 人員離崗 | 訪談安全主管,詢問(wèn)是否及時(shí)終止離崗人員所有訪問(wèn)權(quán)限,; 應(yīng)檢查是否具有對(duì)離崗人員的安全處理記錄,,如取回各種身份證件、鑰匙,、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備等登記記錄,; 訪談人事工作人員,詢問(wèn)調(diào)離手續(xù)包括哪些,,是否要求調(diào)離人員承諾相關(guān)保密義務(wù)后方可離開,;應(yīng)檢查保密承諾文檔,查看是否有調(diào)離人員的簽字,。 | 訪談,、核查 |
| 3 | 安全意識(shí)教育和培訓(xùn) | 核查管理制度類文檔,是否規(guī)定各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn),,核查培訓(xùn)記錄,;核查安全責(zé)任和懲戒措施管理文檔是否包含具體的安全責(zé)任和懲戒措施。核查是否具有安全教育和培訓(xùn)計(jì)劃文檔,,內(nèi)容是否具有不同崗位的培訓(xùn)計(jì)劃,;核查培訓(xùn)記錄表單類文檔,是否包含安全基礎(chǔ)知識(shí),、崗位操作規(guī)程,;核查培訓(xùn)記錄是否有培訓(xùn)人員、培訓(xùn)內(nèi)容,、培訓(xùn)結(jié)果等描述,。訪問(wèn)網(wǎng)絡(luò)安全負(fù)責(zé)人多久對(duì)人員進(jìn)行技能考核;核查記錄表單類文檔,,是否具有技能記錄,。 | 訪談、核查 |
| 4 | 外部人員訪問(wèn)管理 | 核查管理制度類文檔,是否明確外部人員訪問(wèn)內(nèi)容,;核查記錄表單類文檔是否具有審批記錄,;核查《外部人員訪問(wèn)記錄》,內(nèi)容包含進(jìn)入時(shí)間,、離開時(shí)間,、訪問(wèn)區(qū)域及陪同人。核查管理制度類文檔,,是否明確外部人員訪問(wèn)管理,;核查記錄表單類文檔是否具有審批記錄;核查登記記錄是否記錄訪問(wèn)的權(quán)限,、時(shí)限,、賬戶等內(nèi)容。 核查管理制度類文檔,,是否明確外部人員離場(chǎng)后清除權(quán)限內(nèi)容,;核查記錄表單類文檔是否具有清除記錄。核查記錄表與外部人員簽署的保密規(guī)范,。 | 訪談,、核查 |
9、安全建設(shè)管理測(cè)評(píng)
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容,、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.9,。
表3.9安全建設(shè)管理測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 定級(jí)和備案 | 核查網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)報(bào)告是否是否說(shuō)明定級(jí)的方法和理由。訪談網(wǎng)絡(luò)安全負(fù)責(zé)人系統(tǒng)是否經(jīng)過(guò)專家定級(jí)評(píng)審,,檢查定級(jí)評(píng)審意見或其他佐證文件,。核查主管部門的審批意見表。訪談網(wǎng)絡(luò)安全負(fù)責(zé)人系統(tǒng)是否已備案,,檢查系統(tǒng)備案證,。 | 訪談、核查 |
| 2 | 安全方案設(shè)計(jì) | 核查是否具有系統(tǒng)安全建設(shè)方案或系統(tǒng)整個(gè)建議,。核查是否具有系統(tǒng)詳細(xì)設(shè)計(jì)方案,,是否包含總體規(guī)劃和安全設(shè)計(jì)方案等配套文件。訪談網(wǎng)絡(luò)安全負(fù)責(zé)人是否組織相關(guān)部門和專家對(duì)系統(tǒng)設(shè)計(jì)方案進(jìn)行評(píng)審,、檢查是否具有設(shè)計(jì)方案評(píng)審意見,。 | 訪談、核查 |
| 3 | 產(chǎn)品采購(gòu)和使用 | 核查管理制度類文檔是否明確采購(gòu)流程,,核查產(chǎn)品銷售許可證書,。訪談網(wǎng)絡(luò)安全負(fù)責(zé)人系統(tǒng)是否使用了密碼產(chǎn)品,核查密碼產(chǎn)品證書是否符合國(guó)家要求。訪談建設(shè)負(fù)責(zé)人產(chǎn)品采購(gòu)流程,;核查產(chǎn)品采購(gòu)管理制度或要求;核查采購(gòu)管理內(nèi)容是否覆蓋產(chǎn)品的選擇方式以及定期審定和更新產(chǎn)品列表,。 | 訪談,、核查 |
| 4 | 自行軟件開發(fā) | 訪談建設(shè)負(fù)責(zé)人是否將開發(fā)環(huán)境與實(shí)際運(yùn)行環(huán)境物理分開,;檢查測(cè)試數(shù)據(jù)和結(jié)果是否受控使用。核查軟件開發(fā)管理制度是否明確開發(fā)過(guò)程中的控制方法和人員行為準(zhǔn)則,,是否明確哪些開發(fā)活動(dòng)應(yīng)經(jīng)過(guò)授權(quán)和審批,。訪談系統(tǒng)建設(shè)負(fù)責(zé)人是否有代碼編寫安全規(guī)范,核查代碼編寫規(guī)范是否明確代碼的編寫規(guī)則,,訪談系統(tǒng)建設(shè)負(fù)責(zé)人是否有人負(fù)責(zé)對(duì)軟件設(shè)計(jì)的相關(guān)文檔進(jìn)行管控,;核查被測(cè)評(píng)系統(tǒng)是否有開發(fā)文檔和使用說(shuō)明文檔。訪談開發(fā)負(fù)責(zé)人是否對(duì)系統(tǒng)進(jìn)行過(guò)安全性測(cè)試,;核查是否具有《軟件安全測(cè)試報(bào)告》和《代碼審計(jì)報(bào)告》,。訪談建設(shè)負(fù)責(zé)人是否對(duì)程序資源庫(kù)進(jìn)行管控,核查對(duì)程序資源庫(kù)的修改,、更新,、發(fā)布進(jìn)行授權(quán)和審批的文檔或記錄是否有批準(zhǔn)人的簽字。訪談建設(shè)負(fù)責(zé)人開發(fā)人員是否為專職人員,;訪談建設(shè)負(fù)責(zé)人開發(fā)人員是否為專職,、檢查保密規(guī)范。 | 訪談,、核查 |
| 5 | 外包軟件開發(fā) | 訪談建設(shè)負(fù)責(zé)人是否做了惡意代碼檢測(cè),;核查是否具有交付前的惡意代碼檢測(cè)報(bào)告。核查是否具有軟件開發(fā)的相關(guān)文檔,。訪談建設(shè)負(fù)責(zé)人委托開發(fā)單位是否提供了軟件源代碼,;檢查軟件測(cè)試報(bào)告是否審查了軟件可能存在的后門和隱蔽信道。 | 訪談,、核查 |
| 6 | 工程實(shí)施 | 訪談建設(shè)負(fù)責(zé)人是否對(duì)測(cè)試驗(yàn)收進(jìn)行管控,;核查是否制定了驗(yàn)收方案和驗(yàn)收?qǐng)?bào)告,驗(yàn)收?qǐng)?bào)告是否具有審定意見,。訪談建設(shè)方負(fù)責(zé)人,,系統(tǒng)上線前是否開展安全性測(cè)試;核查是否具有安全測(cè)試報(bào)告,,報(bào)告是否包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容,。 | 訪談、核查 |
| 7 | 測(cè)試驗(yàn)收 | 訪談系統(tǒng)建設(shè)負(fù)責(zé)人,,詢問(wèn)是否對(duì)系統(tǒng)進(jìn)行安全性測(cè)試驗(yàn)收,; 訪談系統(tǒng)建設(shè)負(fù)責(zé)人,詢問(wèn)是否根據(jù)設(shè)計(jì)方案或合同要求組織相關(guān)部門和人員對(duì)測(cè)試報(bào)告進(jìn)行符合性審定,; 應(yīng)檢查工程測(cè)試方案,,查看其是否對(duì)參與測(cè)試部門、人員、現(xiàn)場(chǎng)操作過(guò)程等進(jìn)行要求,;查看測(cè)試記錄是否詳細(xì)記錄了測(cè)試時(shí)間,、人員、操作過(guò)程,、測(cè)試結(jié)果等方面內(nèi)容,;查看測(cè)試報(bào)告是否提出存在問(wèn)題及改進(jìn)意見等; 訪談系統(tǒng)建設(shè)負(fù)責(zé)人,,詢問(wèn)是否組織相關(guān)部門和相關(guān)人員,,哪些部門哪些人員,對(duì)系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告進(jìn)行審定,,是否由雙方簽字進(jìn)行確認(rèn),; 應(yīng)檢查系統(tǒng)測(cè)試驗(yàn)收?qǐng)?bào)告,是否有審定部門的人員的簽字,。 | 訪談,、核查 |
| 8 | 系統(tǒng)交付 | 訪談建設(shè)方負(fù)責(zé)人是否對(duì)系統(tǒng)交付建立管控流程以及交付清單;核查交付清單內(nèi)容,。訪談建設(shè)方負(fù)責(zé)人是否對(duì)運(yùn)維人員進(jìn)行技能培訓(xùn),;核查是否具有技能培訓(xùn)記錄,記錄是否包括培訓(xùn)內(nèi)容,、培訓(xùn)時(shí)間和參與人員等,。核查承建單位是否提供了系統(tǒng)操作或運(yùn)維說(shuō)明書。 | 訪談,、核查 |
| 9 | 等級(jí)測(cè)評(píng) | 訪談運(yùn)維負(fù)責(zé)人本次測(cè)評(píng)是否為首次,,若非首次,是否根據(jù)以往測(cè)評(píng)結(jié)果進(jìn)行相應(yīng)的安全整改,;檢查是否具有等級(jí)測(cè)評(píng)報(bào)告或整改方案,。訪談運(yùn)維負(fù)責(zé)人系統(tǒng)是否發(fā)生過(guò)重大變化或因發(fā)生重大變更后是否進(jìn)行等級(jí)測(cè)評(píng),若有發(fā)生重大變更則檢查否具有相應(yīng)情況下的等級(jí)測(cè)評(píng)報(bào)告,。核查以往等級(jí)測(cè)評(píng)的測(cè)評(píng)單位是否具有等級(jí)測(cè)評(píng)機(jī)構(gòu)資質(zhì),。 | 訪談、核查 |
| 10 | 服務(wù)供應(yīng)商選擇 | 訪談建設(shè)負(fù)責(zé)人如何選擇服務(wù)商,;檢查服務(wù)商資質(zhì)文件,。核查用戶單位是否與安全服務(wù)商簽訂服務(wù)合同。核查服務(wù)商是否定期提供安全服務(wù)報(bào)告,;核查服務(wù)供應(yīng)商服務(wù)報(bào)告或服務(wù)審核報(bào)告,;檢查是否具有服務(wù)商的評(píng)價(jià)審核管理制度。 | 訪談,、核查 |
10,、安全運(yùn)維管理測(cè)評(píng)
各個(gè)測(cè)評(píng)指標(biāo)的具體內(nèi)容,、測(cè)評(píng)對(duì)象和測(cè)評(píng)方法見表3.10
表3.10安全運(yùn)維管理測(cè)評(píng)實(shí)施內(nèi)容表
| 序號(hào) | 測(cè)評(píng)指標(biāo) | 測(cè)評(píng)內(nèi)容 | 測(cè)評(píng)方法 |
| 1 | 環(huán)境管理 | 訪談物理安全負(fù)責(zé)人是否指定部門和人員負(fù)責(zé)機(jī)房安全管理工作,對(duì)機(jī)房的出入進(jìn)行管理,,對(duì)基礎(chǔ)設(shè)施(如空調(diào),、供配電設(shè)備、滅火設(shè)備等)定期維護(hù),;核查部門或人員崗位職責(zé)文檔是否明確機(jī)房安全的責(zé)任部門及人員;核查機(jī)房的出入登記記錄是否記錄來(lái)訪人員,、來(lái)訪時(shí)間,、離開時(shí)間、攜帶物品等信息,;核查機(jī)房的基礎(chǔ)設(shè)施的維護(hù)記錄是否記錄維護(hù)日期,、維護(hù)人、維護(hù)設(shè)備,、故障原因,、維護(hù)結(jié)果等方面內(nèi)容,核查機(jī)房安全管理制度是否覆蓋物理訪問(wèn),、物品進(jìn)出和環(huán)境安全等方面內(nèi)容,;核查物理訪問(wèn)、物品帶出和環(huán)境安全等相關(guān)記錄是否與制度相符,。核查機(jī)房安全管理制度是否明確來(lái)訪人員的接待區(qū)域,;核查辦公桌面上等位置是否未隨意放置含有敏感信息的紙檔文件和移動(dòng)介質(zhì)。 | 訪談,、核查 |
| 2 | 資產(chǎn)管理 | 核查資產(chǎn)清單是否包括資產(chǎn)類別(設(shè)備設(shè)施,、軟件、文檔等),、資產(chǎn)責(zé)任部門,、重要程度和所處位置等內(nèi)容。訪談資產(chǎn)管理員是否依據(jù)資產(chǎn)的重要程度對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí),,不同類別的資產(chǎn)在管理措施的選取上是否不同,;核查資產(chǎn)管理制度是否明確資產(chǎn)的標(biāo)識(shí)方法以及不同資產(chǎn)的管理措施要求;核查資產(chǎn)清單中的設(shè)備是否具有相應(yīng)標(biāo)識(shí),,標(biāo)識(shí)方法是否符合相關(guān)要求,。核查分類文檔是否規(guī)定了分類標(biāo)識(shí)的原則和方法(如根據(jù)信息的重要程度、名程度或用途不同進(jìn)行分類),;核查信息資產(chǎn)管理辦法是否規(guī)定了不同類信息的使用,、傳輸和存儲(chǔ)要求。 | 訪談,、核查 |
| 3 | 介質(zhì)管理 | 訪談資產(chǎn)管理員介質(zhì)存放環(huán)境是否安全,,存放環(huán)境是否專人管理,;核查介質(zhì)管理記錄是否記錄介質(zhì)歸檔、使用和定期盤點(diǎn)等情況,。訪談資產(chǎn)管理員介質(zhì)在物理傳輸過(guò)程中的人員選擇,、打包、交付等情況是否進(jìn)行控制,;核查是否對(duì)介質(zhì)的歸檔和查詢進(jìn)行登記記錄,。 | 訪談、核查 |
| 4 | 設(shè)備維護(hù)管理 | 訪談設(shè)備管理員是否對(duì)各類設(shè)備,、線路指定專人或?qū)iT部門進(jìn)行定期維護(hù),;核查部門或人員崗位職責(zé)文檔是否明確設(shè)備維護(hù)管理的責(zé)任部門。核查設(shè)備維護(hù)管理制度是否明確維護(hù)人員的責(zé)任,、維修和服務(wù)的審批,、維修過(guò)程的監(jiān)督控制等方面內(nèi)容;2.核查是否留有維修和服務(wù)的審批,、維修過(guò)程等記錄,,審批、記錄內(nèi)容是否與制度相符,。訪談設(shè)備管理員含有重要數(shù)據(jù)的設(shè)備帶出工作環(huán)境是否有加密措施,;訪談設(shè)備管理員對(duì)帶離機(jī)房的設(shè)備是否經(jīng)過(guò)審批;核查是否具有設(shè)備帶離機(jī)房或辦公地點(diǎn)的審批記錄,。訪談設(shè)備管理員含有存儲(chǔ)介質(zhì)的設(shè)備在報(bào)廢或重用前,,是否采取措施完全清除或安全覆蓋。 | 訪談,、核查 |
| 5 | 漏洞和風(fēng)險(xiǎn)管理 | 核查是否有識(shí)別安全漏洞和隱患的安全報(bào)告或記錄(如漏洞掃描報(bào)告,、滲透測(cè)試報(bào)告和安全通報(bào)等);核查相關(guān)記錄是否對(duì)發(fā)現(xiàn)的漏洞及時(shí)進(jìn)行修補(bǔ)或評(píng)估可能的影響后進(jìn)行修補(bǔ),。訪談安全管理員是否定期對(duì)信息系統(tǒng)開展安全測(cè)評(píng),;核查是否具有安全測(cè)評(píng)報(bào)告;核查是否具有安全整改應(yīng)對(duì)措施文檔,。 | 訪談,、核查 |
| 6 | 網(wǎng)絡(luò)和系統(tǒng)安全管理 | 核查網(wǎng)絡(luò)和系統(tǒng)安全管理文檔,系統(tǒng)管理員是否劃分不同角色,,并定義各個(gè)角色的責(zé)任和權(quán)限,。訪談運(yùn)維負(fù)責(zé)人是否指定專門的部門或人員進(jìn)行賬戶管理;核查相關(guān)審批記錄或流程是否對(duì)申請(qǐng)賬戶,、建立賬戶,、刪除賬戶進(jìn)行控制。核查網(wǎng)絡(luò)和系統(tǒng)安全管理制度是否覆蓋網(wǎng)絡(luò)和系統(tǒng)的安全策略,、賬戶管理(用戶責(zé)任,、義務(wù),、風(fēng)險(xiǎn)、權(quán)限審批,、權(quán)限分配,、賬戶注銷等)、配置文件的生成及備份,、變更審批,、授權(quán)訪問(wèn)、最小服務(wù),、升級(jí)與打補(bǔ)丁,、審計(jì)日志管理、登錄設(shè)備和系統(tǒng)的口令更新周期等方面,。核查重要設(shè)備和系統(tǒng)(操作系統(tǒng)、數(shù)據(jù)庫(kù),、網(wǎng)絡(luò)設(shè)備,、安全設(shè)備、應(yīng)用和組件)的配置和操作手冊(cè)是否明確操作步驟,,參數(shù)配置等內(nèi)容,。核查運(yùn)維操作日志是否覆蓋網(wǎng)絡(luò)和系統(tǒng)的日常巡檢、運(yùn)行維護(hù),、參數(shù)的設(shè)置和修改等內(nèi)容,。訪談網(wǎng)絡(luò)和系統(tǒng)相關(guān)人員是否指定專門部門或人員對(duì)日志、監(jiān)測(cè)和報(bào)警數(shù)據(jù)進(jìn)行分析統(tǒng)計(jì),;核查是否具有對(duì)日志,、監(jiān)測(cè)和報(bào)警數(shù)據(jù)等進(jìn)行分析統(tǒng)計(jì)的報(bào)告。訪談網(wǎng)絡(luò)和系統(tǒng)相關(guān)人員調(diào)整配置參數(shù)結(jié)束后是否同步更新配置信息庫(kù),,并核實(shí)配置信息庫(kù)是否為最新版本,;核查是否具有變更運(yùn)維的審批記錄,如系統(tǒng)連接,、安裝系統(tǒng)組件或調(diào)整配置參數(shù)等活動(dòng),;核查是否具有變更運(yùn)維的操作過(guò)程記錄。訪談系統(tǒng)管理員使用運(yùn)維工具結(jié)束后是否刪除工具中的敏感數(shù)據(jù),;核查是否具有運(yùn)維工具接入系統(tǒng)的審批記錄,;核查運(yùn)維工具的審計(jì)日志記錄,審計(jì)日志是否不可以更改,。訪談系統(tǒng)相關(guān)人員日常運(yùn)維過(guò)程中是否存在遠(yuǎn)程運(yùn)維,,若存在,遠(yuǎn)程運(yùn)維結(jié)束后是否立即關(guān)閉接口或通道,;核查開通遠(yuǎn)程運(yùn)維的審批記錄,;核查針對(duì)遠(yuǎn)程運(yùn)維的審計(jì)日志是否不可以更改,。訪談系統(tǒng)相關(guān)人員網(wǎng)絡(luò)外聯(lián)連接(如互聯(lián)網(wǎng)、合作伙伴企業(yè)網(wǎng),、上級(jí)部門網(wǎng)絡(luò)等)是否都得到授權(quán)與批準(zhǔn),;訪談網(wǎng)絡(luò)管理員是否定期核查違規(guī)聯(lián)網(wǎng)行為;核查是否具有外聯(lián)授權(quán)的記錄文件,。 | 訪談,、核查 |
| 7 | 惡意代碼防范管理 | 訪談運(yùn)維負(fù)責(zé)人是否采取培訓(xùn)和告知等方式提升員工的防惡意代碼意識(shí);核查惡意代碼防范管理制度是否明確對(duì)外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入系統(tǒng)前進(jìn)行惡意代碼核查,。采用可信驗(yàn)證技術(shù),,訪談安全管理員是否發(fā)生過(guò)惡意代碼攻擊事件;采用防惡意代碼產(chǎn)品,,訪談安全管理員是否定期對(duì)惡意代碼特征庫(kù)進(jìn)行升級(jí),,且對(duì)升級(jí)情況進(jìn)行記錄,對(duì)各類防病毒產(chǎn)品上截獲的惡意代碼是否進(jìn)行分析并匯總上報(bào),,是否未出現(xiàn)過(guò)大規(guī)模的病毒事件,;核查是否具有惡意代碼檢測(cè)記錄,惡意代碼庫(kù)升級(jí)記錄和分析報(bào)告,。 | 訪談,、核查 |
| 8 | 配置管理 | 訪談系統(tǒng)管理員是否對(duì)基本配置信息進(jìn)行記錄和保存;訪談配置管理人員基本配置信息改變后是否及時(shí)更新基本配置信息庫(kù),;核查配置信息的變更流程是否具有相應(yīng)的申報(bào)審批程序,,并核查審批記錄。 | 訪談,、核查 |
| 9 | 密碼管理 | 訪談安全管理員,,密碼管理過(guò)程中是否遵循密碼相關(guān)的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)要求。核查相關(guān)產(chǎn)品是否獲得有效的國(guó)家密碼管理主管部門規(guī)定的檢測(cè)報(bào)告或密碼產(chǎn)品型號(hào)證書,。 | 訪談,、核查 |
| 10 | 變更管理 | 核查系統(tǒng)變更管理制度,是否包含變更管理流程,、變更內(nèi)容分析與論證,、變更方案審批流程等相關(guān)內(nèi)容;核查變更方案是否包含變更方案是否包含變更類型,、變更原因,、變更過(guò)程、變更前評(píng)估等內(nèi)容,;核查是否具有變更方案評(píng)審記錄和變更過(guò)程記錄文檔,。核查變更控制的申報(bào)、審批程序是否規(guī)定需要申報(bào)的類型,、申報(bào)流程,、審批部門,、批準(zhǔn)人等方面內(nèi)容;核查是否具有變更實(shí)施過(guò)程的記錄文檔,。訪談運(yùn)維負(fù)責(zé)人變更中止或失敗后的恢復(fù)程序,、工作方法和職責(zé)是否文檔化,恢復(fù)過(guò)程是否經(jīng)過(guò)演練,;核查是否具有變更恢復(fù)演練記錄,;核查變更程序是否規(guī)定變更中止或失敗后的恢復(fù)流程。 | 訪談,、核查 |
| 11 | 備份與恢復(fù)管理 | 訪談系統(tǒng)管理員有哪些需要定期備份的業(yè)務(wù)信息,、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng);核查是否具有定期備份的重要業(yè)務(wù)信息,、系統(tǒng)數(shù)據(jù),、軟件系統(tǒng)的列表或清單,并確認(rèn)備份策略是與制度要求一致,。核查備份和恢復(fù)管理制度是否明確備份方式,、頻度、介質(zhì),、保存期等內(nèi)容。訪談系統(tǒng)管理員是否建立有數(shù)據(jù)備份和恢復(fù)策略管理制度,;核查備份文件和備份數(shù)據(jù)恢復(fù)測(cè)試文檔,,確認(rèn)是否與備份策略一致。 | 訪談,、核查 |
| 12 | 安全事件處置 | 訪談運(yùn)維負(fù)責(zé)人是否告知用戶再發(fā)現(xiàn)安全弱點(diǎn)和可以事件時(shí)及時(shí)向安全管理部門報(bào)告,;核查發(fā)現(xiàn)安全弱點(diǎn)和可疑事件后是否具備對(duì)應(yīng)的報(bào)告和相關(guān)文檔。核查安全事件報(bào)告和處置管理制度是否明確了與安全事件有關(guān)的工作職責(zé),、不同安全事件的報(bào)告,、處置和響應(yīng)流程等。核查安全事件報(bào)告和響應(yīng)處置記錄是否記錄引發(fā)安全事件的原因,、證據(jù),、處置過(guò)程、經(jīng)驗(yàn)教訓(xùn),、補(bǔ)救措施等內(nèi)容,。訪談運(yùn)維負(fù)責(zé)人不同的安全事件的報(bào)告流程;核查針對(duì)重大安全事件是否制定不同安全事件報(bào)告和處理流程,,是否明確具體報(bào)告方式,、報(bào)告內(nèi)容、報(bào)告人數(shù)等內(nèi)容,。 | 訪談,、核查 |
| 13 | 應(yīng)急預(yù)案管理 | 核查應(yīng)急預(yù)案框架是否覆蓋啟動(dòng)應(yīng)急預(yù)案的條件,、應(yīng)急組織構(gòu)成、應(yīng)急資源保障,、事后教育和培訓(xùn)等方面,;核查是否具有重要事件的應(yīng)急預(yù)案(如針對(duì)機(jī)房、系統(tǒng),、網(wǎng)絡(luò)等各個(gè)方面),。訪談運(yùn)維負(fù)責(zé)人是否定期對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)和演練;核查應(yīng)急預(yù)案培訓(xùn)記錄是否明確培訓(xùn)對(duì)象,、培訓(xùn)內(nèi)容和培訓(xùn)結(jié)構(gòu),;核查應(yīng)急預(yù)案演練記錄是否記錄演練時(shí)間、主要操作內(nèi)容,、演練結(jié)構(gòu)等,。核查應(yīng)急預(yù)案修訂記錄是否定期評(píng)估并修訂完善。 | 訪談,、核查 |
| 14 | 外包運(yùn)維管理 | 訪談運(yùn)維負(fù)責(zé)人是否有外包運(yùn)維服務(wù)的情況,;訪談運(yùn)維負(fù)責(zé)人外包運(yùn)維服務(wù)單位是否符合國(guó)家有關(guān)規(guī)定,是否具有相應(yīng)的資質(zhì)證件,。核查外包運(yùn)維服務(wù)規(guī)范是否明確約定外包運(yùn)維的范圍和工作內(nèi)容,。核查與外部運(yùn)維服務(wù)商簽訂的規(guī)范中是否明確其具有等級(jí)保護(hù)要求的服務(wù)能力。核查外包運(yùn)維服務(wù)規(guī)范是否包含可能涉及對(duì)敏感信息的訪問(wèn),、處理,、存儲(chǔ)要求,對(duì)IT基礎(chǔ)設(shè)施中斷服務(wù)的應(yīng)急保障要求等內(nèi)容,。 | 訪談,、核查 |
五、工期
暫定于****至****,,工期90天,,具體時(shí)間以招標(biāo)人通知為準(zhǔn)。
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
《國(guó)家能源局關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》(國(guó)能發(fā)安全[2018] 72號(hào))
GB/T 22239-2019:《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
GB/T 25058-2010 《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》
GB/T 20984-2022:《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估方法》
GB 17859-1999 《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》
GB/T 28449-2018:《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》
《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院第147號(hào)令)
《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字[2004]66號(hào))
《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))
1、招標(biāo)人責(zé)任
1.1負(fù)責(zé)提供原系統(tǒng)相關(guān)的圖紙資料,;
1.2對(duì)投標(biāo)人安全,、質(zhì)量以及材料使用、文明生產(chǎn)等各方面進(jìn)行監(jiān)察,;
1.3對(duì)施工質(zhì)量進(jìn)行檢查驗(yàn)收,;
1.4為投標(biāo)人的服務(wù)提供必要的工作條件、工具和設(shè)備;招標(biāo)人不具備的工具應(yīng)由投標(biāo)人自行解決,。
2,、投標(biāo)人責(zé)任
2.1嚴(yán)格按照相關(guān)施工規(guī)范要求,對(duì)合同范圍內(nèi)的設(shè)備進(jìn)行拆除,、改造,、設(shè)備供貨、安裝,、調(diào)試,;
2.2負(fù)責(zé)本工程所有乙供材的供應(yīng);
2.3負(fù)責(zé)辦理工作票,、工器具準(zhǔn)備等工作,,按照招標(biāo)人進(jìn)度計(jì)劃和質(zhì)量要求組織施工;
2.4負(fù)責(zé)投標(biāo)人人員和設(shè)備的安全,,人員防護(hù),;
2.5由于投標(biāo)人原因或其他方原因造成投標(biāo)人人身或設(shè)備事故時(shí),由投標(biāo)人承擔(dān)責(zé)任,,招標(biāo)人應(yīng)協(xié)助處理,,并提供方便;
2.6在施工工作中,,必須盡可能保護(hù)設(shè)備的完好,,在施工中由于投標(biāo)人原因造成設(shè)備和設(shè)備標(biāo)牌損壞等,由投標(biāo)人負(fù)責(zé)維修和修復(fù),費(fèi)用由投標(biāo)人承擔(dān);
2.7負(fù)責(zé)施工范圍內(nèi)的設(shè)備及區(qū)域的衛(wèi)生和文明生產(chǎn)工作,;
2.8負(fù)責(zé)投標(biāo)人人員的食宿,,交通;
2.9提供設(shè)備的使用維護(hù)說(shuō)明書,、圖紙、主要備品備件清單等技術(shù)資料,;
2.10提供至少一次設(shè)備的操作及維護(hù)培訓(xùn),;
2.11提供一年期免費(fèi)現(xiàn)場(chǎng)技術(shù)支持;
2.12負(fù)責(zé)保護(hù)隆達(dá)電廠涉網(wǎng)系統(tǒng)的核心數(shù)據(jù)安全,,保證隆達(dá)電廠的涉網(wǎng)系統(tǒng)的核心數(shù)據(jù)不外傳,。
1,、甲供材:無(wú)
2,、乙供材:
為了完成本工程所需要的所有設(shè)備、軟件及工具等均由投標(biāo)人負(fù)責(zé),。
貫徹“安全第一,預(yù)防為主,綜合治理”的安全生產(chǎn)方針,,嚴(yán)格遵守國(guó)家《安全生產(chǎn)法》,、《建設(shè)工程安全生產(chǎn)管理?xiàng)l例》等有關(guān)安全生產(chǎn)和環(huán)境保護(hù)的法律法規(guī)、規(guī)范標(biāo)準(zhǔn)及相關(guān)要求,,嚴(yán)格遵守《電力安全工作規(guī)程》和永泰能源股份公司,、點(diǎn)擊登錄查看的有關(guān)安全文明施工和環(huán)境保護(hù)管理規(guī)定,以有效落實(shí)安全生產(chǎn)責(zé)任為宗旨,,以安全標(biāo)準(zhǔn)化管理為手段,,全面執(zhí)行安全“六化”管理(即安全管理制度化、安全設(shè)施標(biāo)準(zhǔn)化,、現(xiàn)場(chǎng)布置條理化,、機(jī)料擺放定置化、作業(yè)行為規(guī)范化,、環(huán)境影響最小化),,全面接受招標(biāo)人的監(jiān)督、管理,、檢查,,確保施工人員的安全和健康、招標(biāo)人財(cái)產(chǎn)免遭損失,,環(huán)境免遭破壞,。保證安全施工、文明施工,、綠色施工,。
1、投標(biāo)人必須建立健全完善的“安全生產(chǎn)保證體系”和“安全監(jiān)督監(jiān)察體系”,,并統(tǒng)一納入招標(biāo)人安全管理體系,,接受招標(biāo)人安全管理職能部門的監(jiān)督和領(lǐng)導(dǎo)。
2,、.投標(biāo)人進(jìn)場(chǎng)前須與招標(biāo)人簽訂安全規(guī)范,。
3、.投標(biāo)人必須堅(jiān)決貫徹執(zhí)行黨和國(guó)家及招標(biāo)人所在地各級(jí)人民政府,,關(guān)于安全生產(chǎn)的一系列方針,、政策、法規(guī),、條例和規(guī)定,,必須采取一切必要措施和手段強(qiáng)化安全管理,提高安全生產(chǎn)水平,,維持安全生產(chǎn)秩序,,以保證現(xiàn)場(chǎng)人員和設(shè)備的安全與健康。
4、投標(biāo)人必須貫徹執(zhí)行“安全第一,、預(yù)防為主,綜合治理”的方針,,嚴(yán)格執(zhí)行《電力生產(chǎn)安全工作規(guī)程》、《安全生產(chǎn)工作規(guī)定》,、《防止電力生產(chǎn)重大事故的二十五項(xiàng)重點(diǎn)要求》和招標(biāo)人有關(guān)安全工作的其它規(guī)定,,確保人身及設(shè)備事故零目標(biāo)。
5,、由于投標(biāo)人人員違反招標(biāo)人相關(guān)的安全工作規(guī)定,、規(guī)程,造成人員傷亡和設(shè)備,、設(shè)施損壞事故,,責(zé)任完全由投標(biāo)人獨(dú)立承擔(dān),造成的經(jīng)濟(jì)損失招標(biāo)人可從應(yīng)付給或?qū)⒁督o投標(biāo)人的款項(xiàng)中扣回,,不足部分從履約保證金中扣除,。
6、投標(biāo)人派駐現(xiàn)場(chǎng)人員(含管理人員及作業(yè)人員)總?cè)藬?shù)超過(guò)30人的,,應(yīng)出具專職安全生產(chǎn)管理人員的有效的安全資格或安全培訓(xùn)證明材料,;投標(biāo)人派駐現(xiàn)場(chǎng)人員(含管理人員及作業(yè)人員)總?cè)藬?shù)在30人以下的,應(yīng)出具兼職安全生產(chǎn)管理人員(或安全員)的有效的安全資格或安全培訓(xùn)證明材料,。在30人以內(nèi)配備1名兼職安全員,;
7、投標(biāo)人檢修工作票,、動(dòng)火工作票的工作負(fù)責(zé)人資格必須經(jīng)招標(biāo)人通過(guò)考試確認(rèn),,工作票執(zhí)行中的相關(guān)事項(xiàng)依據(jù)《電力生產(chǎn)安全工作規(guī)程》和招標(biāo)人有關(guān)工作票的相關(guān)規(guī)定執(zhí)行。
8,、投標(biāo)人在本合同開始履行前,,應(yīng)組織其人員認(rèn)真聽取招標(biāo)人安監(jiān)管理人員的安全技術(shù)交底,制定出檢修工作安全技術(shù)措施和防火防盜措施,,經(jīng)招標(biāo)人安監(jiān)管理人員審核批準(zhǔn)后方可開工,。
9、投標(biāo)人人員在現(xiàn)場(chǎng)檢修工作過(guò)程中,,應(yīng)接受招標(biāo)人管理人員的安全技術(shù)監(jiān)督與管理。
10,、.勞動(dòng)保護(hù)防護(hù)用品及安全工器具由投標(biāo)人按國(guó)家規(guī)定配備齊全,,特殊工種配備相應(yīng)的勞動(dòng)防護(hù)用品。
11,、投標(biāo)人檢修所用的安全工器具必須按國(guó)家規(guī)定報(bào)請(qǐng)當(dāng)?shù)貏趧?dòng)部門檢驗(yàn)后方可使用,。
12、安全目標(biāo)是不發(fā)生人身輕傷及以上人身傷亡事故、不發(fā)生人員責(zé)任事故,、不發(fā)生一般及以上設(shè)備事故,,杜絕惡性誤操作事故、不發(fā)生一般及以上火災(zāi)事故,、不發(fā)生一般及以上交通事故,、不發(fā)生一般環(huán)境污染事故。
13,、投標(biāo)人應(yīng)持有與合同業(yè)務(wù)相對(duì)應(yīng)的經(jīng)行業(yè)主管部門頒發(fā)的有效的承攬業(yè)務(wù)的資質(zhì)證明材料,。
14、從事建筑施工,,投標(biāo)人須持有行業(yè)主管部門頒發(fā)的有效的《安全生產(chǎn)許可證》,。
15、投標(biāo)人或投標(biāo)人的現(xiàn)場(chǎng)承包方須具有相應(yīng)的合同設(shè)備系統(tǒng)的等保測(cè)評(píng)資質(zhì),。,。
16、合同工作有特殊要求的,,投標(biāo)人須持有特殊要求證書,。
17、投標(biāo)人現(xiàn)場(chǎng)負(fù)責(zé)人(或項(xiàng)目經(jīng)理)應(yīng)持有承包單位或法人出具的法人授權(quán)委托或任命證明材料,,投標(biāo)人現(xiàn)場(chǎng)負(fù)責(zé)人(或項(xiàng)目經(jīng)理)應(yīng)持有有效的安全資格或安全培訓(xùn)證明材料,。
18、投標(biāo)人應(yīng)出具全部擬派駐現(xiàn)場(chǎng)人員(含管理人員及作業(yè)人員)與投標(biāo)人之間的有效的勞務(wù)關(guān)系證明(包括且不僅限于用工合同,、用工規(guī)范,、社保繳納證明等)。
19,、投標(biāo)人應(yīng)出具為全部擬派駐現(xiàn)場(chǎng)人員(含管理人員及作業(yè)人員)辦理的有效的人身保險(xiǎn)證明(包括且不僅限于工傷保險(xiǎn),、商業(yè)人身意外險(xiǎn)等)。
20,、投標(biāo)人現(xiàn)場(chǎng)作業(yè)若存在電工作業(yè),、金屬焊接切割作業(yè)、高處作業(yè),、制冷與空調(diào)作業(yè),、危險(xiǎn)化學(xué)品安全作業(yè)等特種作業(yè)行為,投標(biāo)人應(yīng)出具擬派駐現(xiàn)場(chǎng)的相應(yīng)作業(yè)行為人員的由應(yīng)急管理部門頒發(fā)的有效的《特種作業(yè)操作證》,。
21,、保持施工場(chǎng)所整潔,做到“工完,、料盡,、場(chǎng)地清”,,設(shè)備材料堆放有序、標(biāo)識(shí)清楚,,保持施工道路暢通,,保持排水設(shè)施完好;
22,、場(chǎng)區(qū)文明施工標(biāo)志,、重點(diǎn)防火部位標(biāo)志及緊急救護(hù)標(biāo)志醒目、齊全,。
1、驗(yàn)收
過(guò)程驗(yàn)收投標(biāo)人分項(xiàng)按工序完成后通知招標(biāo)人按等保測(cè)評(píng)標(biāo)準(zhǔn)質(zhì)量驗(yàn)收點(diǎn)驗(yàn)收,。
2,、竣工驗(yàn)收
本工程完成一個(gè)月內(nèi),投標(biāo)人向招標(biāo)人提交竣工驗(yàn)收申請(qǐng),,投標(biāo)人完成在當(dāng)?shù)毓矀浒?、四個(gè)系統(tǒng)的三級(jí)測(cè)評(píng)報(bào)告、四個(gè)系統(tǒng)的整改建議書等,,招標(biāo)人組織熱態(tài)驗(yàn)收,,投標(biāo)人參與,驗(yàn)收合格后即為竣工驗(yàn)收合格,。
1、由于投標(biāo)人原因造成合同范圍內(nèi)的等保測(cè)評(píng)不能按時(shí)完成,,考核投標(biāo)人1000元,,每延長(zhǎng)1天,再考核200元,。
2,、等保測(cè)評(píng)過(guò)程中發(fā)生設(shè)備系統(tǒng)損壞、數(shù)據(jù)傳輸中斷,、癱瘓,、告警等,給招標(biāo)人造成損失,,視具體情況考核投標(biāo)人5000-10000元,。
投標(biāo)人要將投標(biāo)文件和招標(biāo)文件的差異之處匯集成表,。技術(shù)部分和商務(wù)部分要單獨(dú)列表,,技術(shù)偏差內(nèi)容包括技術(shù)要求、等所有與招標(biāo)文件技術(shù)部分要求的不一致的內(nèi)容,。投標(biāo)人未在差異表中列出差異則視為完全響應(yīng)招標(biāo)文件要求,。
差異表
| 序號(hào) | 招標(biāo)文件 | 投標(biāo)文件 | ||
| 條目 | 簡(jiǎn)要內(nèi)容 | 條目 | 簡(jiǎn)要內(nèi)容 | |
第五章 投標(biāo)文件格式
在審閱了招標(biāo)文件所有內(nèi)容后,,簽字代表_________(姓名)經(jīng)正式授權(quán)并代表__________________(投標(biāo)單位名稱) 提交下述文件:
1.開標(biāo)一覽表,;
2.投標(biāo)報(bào)價(jià)表;
3.商務(wù),、技術(shù)差異表,;
4.法定代表人身份證明;
5.授權(quán)委托書,;
6.委托開標(biāo)函(如需),;
7.投標(biāo)人資格證明文件;
8.施工組織
我方?jīng)Q定按照招標(biāo)文件的規(guī)定和投標(biāo)報(bào)價(jià)表確定的價(jià)格,,參與投標(biāo)并承諾:
1.如果我方中標(biāo),,我方將按照招標(biāo)文件中有關(guān)條款的要求履行合同義務(wù)。
2.我方同意本投標(biāo)書在招標(biāo)人規(guī)定的投標(biāo)截止日期起_90天內(nèi)有效,,并對(duì)我方具有約束力,。我方投標(biāo)在有效期期滿前均有可能被接受,如在投標(biāo)有效期內(nèi)撤回投標(biāo),,則我方的投標(biāo)保證金將被貴公司沒收,。如果我方中標(biāo),在正式合同準(zhǔn)備好和簽字前,,本投標(biāo)書將構(gòu)成約束我們雙方的合同,。
3.我方已詳細(xì)審查全部招標(biāo)文件,保證不會(huì)在競(jìng)爭(zhēng)性投標(biāo)過(guò)程中有不正當(dāng)競(jìng)爭(zhēng)行為,,同時(shí)完全理解貴公司不一定接受最低投標(biāo)報(bào)價(jià)的投標(biāo)或收到的任何投標(biāo),。
4.我方已知悉若資質(zhì)及業(yè)績(jī)不滿足要求、投標(biāo)文件不符合技術(shù)要求,,投標(biāo)將會(huì)被拒絕,。
投標(biāo)人(蓋章):
法定代表人或授權(quán)代表簽字(簽字):
日期: 年 月 日
投標(biāo)人名稱:
招標(biāo)編號(hào):
| 項(xiàng)目名稱 | 投標(biāo)報(bào)價(jià) | 工期 | 投標(biāo)聲明(明確稅率) | |
| 小寫(萬(wàn)元人民幣) | 大寫 | |||
| 90天 | ||||
以上均為含稅價(jià),,稅率為 %可抵扣增值稅,。增值稅專用發(fā)票中“貨物或應(yīng)稅勞務(wù)、服務(wù)名稱”欄的填寫須與招標(biāo)文件中實(shí)施內(nèi)容相符,,并符合國(guó)家對(duì)商品和服務(wù)稅收分類的要求,。
投標(biāo)日期:
報(bào)價(jià)有效期90天
投標(biāo)人名稱:(加蓋公章)
法定代表人或授權(quán)代表簽字:
日期:
注:此表應(yīng)按“投標(biāo)人須知”的規(guī)定密封標(biāo)記密封單獨(dú)提交。
委托開標(biāo)函(投標(biāo)人無(wú)法赴開標(biāo)現(xiàn)場(chǎng),,郵遞投標(biāo)文件須提供)
我司(投標(biāo)人單位名稱)因自身原因,,不能于XX年X月X日X點(diǎn)參加貴公司組織的(項(xiàng)目名稱)現(xiàn)場(chǎng)開標(biāo),現(xiàn)委托點(diǎn)擊登錄查看全權(quán)處理現(xiàn)場(chǎng)開標(biāo)等事宜,,對(duì)開標(biāo)現(xiàn)場(chǎng)任何結(jié)果予以承認(rèn)并接受,,同時(shí)承擔(dān)由此引起的全部法律風(fēng)險(xiǎn),。
特此證明!
投標(biāo)人名稱(蓋章):
法定代表人或授權(quán)代表簽字:
日期: 年 月 日
(1)本表中的分項(xiàng)須與承包范圍中的分項(xiàng)內(nèi)容一致,。
(2)總報(bào)價(jià) 萬(wàn)元(大寫:人民幣 ),含稅價(jià),,稅率為 %可抵扣增值稅,。
(3)報(bào)價(jià)表應(yīng)注明日期、有效期和法定代表或其授權(quán)委托人的簽章,。
附表1 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)總報(bào)價(jià)表
| 序號(hào) | 工程項(xiàng)目或費(fèi)用名稱 | 價(jià)格(萬(wàn)元) | 備 注 |
| 合 計(jì) |
注:本表也可按照預(yù)算軟件格式編制,,內(nèi)容可擴(kuò)充,但須列明項(xiàng)目,,不可漏項(xiàng),。
報(bào)價(jià)總計(jì)(大寫):合計(jì)人民幣。
投 標(biāo) 人:------------------------------ (全稱,、蓋章)
法定代表人:--------------------------------------- (簽字)
或
委托代理人:--------------------------------------- (簽字)
日 期:---------------- 年 ------月----- 日
投標(biāo)人需將投標(biāo)文件和招標(biāo)文件的商務(wù)及技術(shù)差異之處匯集成表,,如無(wú)請(qǐng)?zhí)顚憽盁o(wú)”,。如不填寫視為完全響應(yīng)招標(biāo)文件要求。
| 序號(hào) | 招標(biāo)文件 | 投標(biāo)文件 | ||
| 條目 | 簡(jiǎn)要內(nèi)容 | 條目 | 簡(jiǎn)要內(nèi)容 | |
投標(biāo)人(蓋章):
法定代表人或授權(quán)代表簽字(簽字):
日期: 年 月 日
茲有,,____________同志,性別:_____,,民族________,身份證號(hào)碼____________________,,在我單位擔(dān)任_________職務(wù),系我單位的法定代表人,。
特此證明,。
投標(biāo)人(蓋章):____________________
日期: 年 月 日
本人________(姓名)系___________(投標(biāo)人名稱)的法定代表人,,現(xiàn)委托___________(身份證號(hào):_____________)為我單位代理人,。
代理人根據(jù)授權(quán),以我單位名義參加(項(xiàng)目名稱)項(xiàng)目投標(biāo)活動(dòng),。代理人進(jìn)行的簽署,、澄清、說(shuō)明,、補(bǔ)正,、遞交、撤回,、修改的投標(biāo)文件,,參與投標(biāo),、開標(biāo)、合同談判,、簽訂合同和處理其他有關(guān)事宜,,其法律后果由我單位承擔(dān)。
委托期限:,。
代理人無(wú)轉(zhuǎn)委托權(quán)。
投標(biāo)人:(蓋章)
法定代表人:(簽字)
委托代理人:(簽字)
日期: 年 月 日
1.營(yíng)業(yè)執(zhí)照復(fù)印件
2.資質(zhì),、業(yè)績(jī)證明文件
七、施工組織(如有)
請(qǐng)投標(biāo)人依據(jù)自身情況并結(jié)合本工程要求進(jìn)行編制,,投標(biāo)人應(yīng)遞交完整的施工組織措施,、控制措施。其主要包括:
組織機(jī)構(gòu)圖,;
項(xiàng)目經(jīng)理及主要管理人員,、技術(shù)人員名單、業(yè)績(jī)及資歷【須提供本項(xiàng)目經(jīng)理,、專職安全人員的安全資格證書】,;
各專業(yè)擬投入人員配置數(shù)量及名單;
特種作業(yè)人員配置情況表(特種作業(yè)人員須具有與所承包工程有關(guān)的特殊工種要求的有效證件,,登高作業(yè)還須提供作業(yè)者體檢合格證,。投標(biāo)文件中所列有效資格證書須提供復(fù)印件備查,證書復(fù)印件須裝訂入投標(biāo)文件中),;
項(xiàng)目管理流程,;
為說(shuō)明投標(biāo)人的過(guò)程質(zhì)量控制和項(xiàng)目管理能力,請(qǐng)投標(biāo)人提供本項(xiàng)目詳細(xì)工程施工控制網(wǎng)絡(luò)圖(必須包含相關(guān)配合,、輔助工作),,以供招標(biāo)方評(píng)估;
主要項(xiàng)目工程施工技術(shù)方案,;
安全控制及保證措施,;
質(zhì)量控制及保證措施;
工期控制保證措施,;
環(huán)境,、文明生產(chǎn)控制措施;
